Modèle
9 décembre 2022
Afin de gérer une violation de données le plus efficacement possible, toute entité doit s’organiser en amont. Dans ce contexte, il convient de mettre en place une procédure interne qui, selon l’organisation interne propre à chaque entité, comporterait un RACI (R : Responsable, A Approuvé, C : Consulté, I : Informé).

Tâches

DSI

RSSI

Délégué à la protection des données

Équipes Métiers

Direction/Service juridique

Direction/Responsable de la communication

COMEX/Direction

Veille sur les menaces

Détection de l’événement

Qualification de l’événement

(1)

Résolution de l’incident

Estimation de l’impact sur les personnes

Mise en place de la cellule de crise (le cas échéant)

Documentation de la violation de données

Notification de la violation à la CNIL

Communication aux personnes concernées

Retour d’expérience sur la violation de données

  1. Le DPO a le rôle primordial dans la qualification de l’évènement.
ChatGPT, révolution ou gadget technologique sans intérêt ?

Retrouvez dans cet article l'analyse de 2 spécialistes, Guillaume Jagerschmidt, avocat en droit des nouvelles technologies et Zacharie Laïk. avocat au barreau de New York, sur l’impact de l’utilisation de ChatGPT pour le métier des avocats en 2 points : pour une utilisation raisonnée de ChatGPT et faire monter les exigences et les compétences des juristes

Autres sites à consulter
Questions fréquemment posées

Qu’est-ce qu’une violation de données personnelles ?

La violation de données personnelles désigne une violation de sécurité – malveillante ou accidentelle – qui entraîne une perte, altération ou diffusion de données personnelles non autorisée (RGPD art. 4 §12). Il peut s’agir aussi bien de la perte d’un disque dur contenant un fichier clients que de la destruction volontaire de données par un malware.

Quelles sont les informations à fournir à la CNIL lors de la déclaration d’une violation de données ?

Parmi les informations utiles à fournir à la CNIL figurent : la date et la description de l’incident rencontré ; le type de données personnelles concernées ; le nombre de personnes dont les données ont été atteintes, ainsi que les conséquences probables de cette violation et les mesures envisagées en réaction à la violation ; le nom et les coordonnées du DPO ou d’un autre point de contact ; les mesures prises ou projetées pour remédier à la violation.

Les dernières actualités dans ce thème
Le Conseil adopte l’IA Act !
Droit des affaires
Protection des données personnelles (RGPD)
Le Conseil adopte l’IA Act !
23 mai 2024