Qu’est-ce qu’une violation de données ?
Une violation de données est toute atteinte à la sécurité entraînant :
- La destruction de données personnelles (ex : ransomware chiffrant votre base de données)
- La perte de données personnelles (ex : ordinateur portable volé, clé USB égarée)
- La modification de données personnelles (ex : pirate modifiant des dossiers clients)
- La divulgation ou l’accès non autorisé (ex : e-mail envoyé par erreur, piratage de votre CRM)
Il n’est pas nécessaire qu’il s’agisse d’une attaque spectaculaire. Les violations les plus courantes pour les PME sont quotidiennes :
- Un employé envoie une liste de clients à la mauvaise adresse e-mail
- Un ordinateur portable avec des dossiers du personnel non chiffrés est volé
- Un ancien employé conserve l’accès au CRM après son départ
- Des données clients sont partagées dans un groupe WhatsApp
Les trois étapes en cas de violation
Étape 1 : Évaluez le risque
Toute violation ne doit pas être signalée. La question cruciale : cette violation présente-t-elle probablement un risque pour les droits et libertés des personnes concernées ?
Probablement À SIGNALER :
- Données financières, dossiers médicaux, numéros d’identification divulgués
- Identifiants de connexion divulgués
- Données de groupes vulnérables (enfants, patients)
- Grand nombre de personnes concernées
Probablement PAS À SIGNALER :
- Clé USB perdue avec données entièrement chiffrées
- Bref accès non autorisé sans copie ni modification de données
En cas de doute ? Signalez. Une notification inutile n’a pas de conséquences ; une notification manquée peut entraîner une amende.
Étape 2 : Signalez à l’autorité de contrôle (dans les 72 heures)
Si vous décidez de signaler, vous avez 72 heures après la découverte.
| Pays | Autorité | Comment |
|---|---|---|
| Belgique | APD | Formulaire en ligne |
| France | CNIL | Formulaire en ligne |
| Pays-Bas | AP | Bureau de signalement |
Modèle : Notification de Violation
Un formulaire de notification avec tous les champs obligatoires, plus un modèle pour informer les personnes concernées.
Voir le modèle arrow_forwardÉtape 3 : Informez les personnes concernées (si risque élevé)
Si la violation présente un risque élevé, informez les personnes concernées :
- Ce qui s’est passé
- Quelles données sont concernées
- Ce que vous avez fait
- Ce qu’elles peuvent faire elles-mêmes
Le registre des violations
Chaque violation doit être enregistrée, même non signalée à l’autorité de contrôle.
Erreurs courantes
- “Ce n’était qu’un e-mail” - un e-mail mal envoyé est aussi une violation
- Privilégier l’enquête interne au signalement - commencez la notification dans les 72 heures
- Ne pas informer les personnes concernées en cas de risque élevé
- Ne pas tenir de registre des violations
- Considérer les groupes WhatsApp comme sécurisés
Prévention vaut mieux que signalement
- Chiffrez ordinateurs portables et clés USB
- Limitez l’accès aux données personnelles
- Utilisez des mots de passe forts et la 2FA
- Formez vos employés
- Supprimez les comptes des employés partants immédiatement
GDPRWise identifie automatiquement quelles données personnelles vous collectez et avec qui vous les partagez.