12. Violation de données à caractère personnel
A. Mention des violations relatives aux données à caractère personnel
Les utilisateurs autorisés doivent veiller, dans l’exercice de leur fonction, à éviter des incidents (volontaires ou non) qui peuvent porter atteinte à la vie privée des personnes concernées.
En cas de violation de données à caractère personnel, des mesures adéquates sont prises le plus rapidement possible pour minimiser le risque de dommage pour les personnes concernées ainsi que pour WDK GROUPE PARTNER (atteinte à la réputation, sanctions imposées, …).
Dans tous les cas, tous les utilisateurs autorisés, ainsi que toutes les autres personnes qui consultent, utilisent ou gèrent des informations de WDK GROUPE PARTNER doivent signaler immédiatement toute violation de la sécurité et les incidents en lien avec la sécurité des informations au D.P.D de sorte qu’une analyse puisse immédiatement être faite, les mesures nécessaires prises et pour savoir si la violation doit être signalée à l’Autorité de Protection des Données et/ou aux personnes concernées.
Lorsque le signalement est réalisé par courriel, il est important que celui-ci soit envoyé au D.P.D (voir Section 10.2) et qu’il soit expressément indiqué dans l’objet du courriel qu’il s’agit d’un message avec urgence élevée à propos d’une possible violation en lien avec les données à caractère personnel.
L’information doit contenir une description complète et détaillée de l’incident, en ce compris l’identité de la personne qui fait le signalement (nom, prénom, adresse, courriel (le cas échéant) et numéro de téléphone), de quel type d’incident il s’agit, et combien de personnes sont concernées.
B. Enquête et analyse des risques
En principe, dans un délai de 24 heures après que l’incident ou la violation a été constaté par WDK GROUPE PARTNER ou signalé par un sous-traitant, un utilisateur autorisé, un destinataire, une personne concernée ou un tiers, une enquête sera entamée par WDK GROUPE PARTNER.
L’enquête indiquera quelle est la nature de l’incident, le type de données visées et si spécifiquement des données à caractère personnel sont impactées (et dans l’affirmative, qui sont les personnes concernées et combien de données à caractère personnel sont touchées). L’enquête déterminera s’il s’agit d’une violation ou non des données à caractère personnel.
S’il s’agit d’une violation, une analyse des risques sera effectuée pour savoir quelles sont (peuvent être) les conséquences possibles de la violation, et en particulier les impacts (possibles) pour les personnes concernées.
WDK GROUPE PARTNER décidera ensuite, sur la base du caractère de la violation, s’il y a ou non une obligation d’effectuer une notification à l’Autorité de Protection des Données et/ou à la personne concernée.
C. Documentation des violations
Toutes les violations seront documentées dans un registre. Le registre détaillera la cause principale de l’incident et les facteurs contributifs, la chronologie des événements, les actions en réponse, les recommandations et les leçons apprises en vue d’identifier les domaines qui nécessitent une amélioration. Les changements recommandés à apporter aux systèmes, et procédures seront documentés et mis en place aussi vite que possible.
Dans le cadre de sa mission de surveillance du respect de la règlementation en matière de protection des données le D.P.D examinera également les suites données au traitement de la violation consignée dans le rapport.