AstucenLPD

Procédure d’annonce des violations de la sécurité

Les sociétés basées en Suisse sont désormais tenues d'établir un mécanisme de signalement pour les infractions à la sécurité des données.

Que faire si une infraction aux données se produit ? Il peut arriver qu'une faille survienne dans le traitement des données, mettant en péril la confidentialité, l'intégrité ou l'accessibilité des données. Dans une telle situation, il est impératif qu'un point de contact désigné au sein de l'organisation soit informé. Toute la séquence des événements doit être soigneusement consignée et les rapports préservés. Ce point de contact peut être dans l'obligation d'alerter le PFPDT de l'infraction à la sécurité des données dans certaines circonstances.

Quand faut-il signaler une infraction ? Toutes les infractions à la sécurité des données ne nécessitent pas un signalement. La règle générale est que seules les infractions qui présentent un risque notable pour les droits individuels ou fondamentaux de l'individu concerné nécessitent un signalement. Chaque incident doit être évalué individuellement. Pour aider à cette évaluation, vous pouvez vous référer à la matrice d'analyse d'impact sur la protection des données (AIPD) (lien). L'objectif est de mesurer l'ampleur des impacts potentiels et leur probabilité d'occurrence.

Qui devrait être alerté en cas d'infraction ?

  • Si l'infraction est de nature à être signalée, elle doit être communiquée au PFPDT dès que possible. Bien que la loi ne précise pas de délai précis, le signalement devrait être effectué une fois que l'infraction est clairement identifiée, ses implications évaluées, et que les mesures correctives prévues sont déterminées.
  • De plus, les individus impactés doivent être notifiés si cela est jugé nécessaire pour leur protection, comme dans le cas où un changement de mot de passe est recommandé. Cette obligation est également en vigueur si le PFPDT la requiert. 

Le petit plus de l'expert nLPD

Chaque entreprise doit avoir un protocole clairement établi et bien documenté pour gérer les infractions à la sécurité des données. Cela devrait inclure des étapes pour identifier, évaluer et signaler les incidents. La désignation d’une personne ou d’une équipe en charge de la gestion des infractions à la sécurité des données est indispensable. Formez et sensibilisez également vos collaborateurs pour reconnaître et signaler tout incident suspect. Une sensibilisation régulière peut réduire le risque d'incidents et garantir une réaction rapide lorsqu'ils se produisent. Créez-vous une matrice d'analyse d'impact sur la protection des données (AIPD) pour vous aider à prendre les décisions et actions nécessaires lors d’une infraction. L’établissement d’une documentation rigoureuse notifions toutes les actions, décisions et communications concernant une infraction à la sécurité des données doivent être soigneusement documentées. Cela peut s'avérer précieux pour la responsabilité, la transparence et les évaluations futures. Enfin, il est toujours recommandé de consulter régulièrement des experts en protection des données pour s'assurer que toutes les obligations réglementaires sont respectées et que les meilleures pratiques sont appliquées.

Besoin d'aide sur la nLPD ?

Nos experts se tiennent à votre disposition pour répondre à vos questions et vous présenter des solutions concrètes pour vous mettre en adéquation avec la nLPD !

058 255 01 81

Article rédigé par

Thibaut Robert - Expert nLPD

José Veloso

Associé de Valpeo International
Spécialiste dans la gouvernance d'entreprise

Besoin d'aide sur la nLPD ?

Nos experts se tiennent à votre disposition pour répondre à vos questions et vous présenter des solutions concrètes pour vous mettre en adéquation avec la nLPD !

058 255 01 81