Comment réagir en cas de violation de données personnelles ?



Le Règlement Général relatif à la Protection des Données à caractère personnel (RGPD) fait obligation à tous les responsables de traitement de notifier les violations de données personnelles.

Brabinsure & Baets SPRL,

Marc Evrard,

Carine Vander Motte,

Magdalina Bitsadze,

Antoine Dechamps,

Nous nous engageons à réagir de la même façon lors d'une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données » (RGPD art. 4-12). Ainsi, au-delà d’un classique piratage de données personnelles, une violation est constituée par toute action négative, involontaire et non contrôlée portant sur de telles données.

En cas de violation de données à caractère personnel, nous notifierons a minima l'APD, parfois l'APD et les personnes impactées par la violation lorsque la situation présente un risque élevé.

Dans tous les cas, la violation sera consignée et documentée dans un registre interne à l’entreprise (faits constatés, mesures de protection mises en œuvre et justifications afférentes).

Les notifications à l'APD seront effectuées le plus rapidement possible, en tout état de cause sous 72 heures.

Nous sommes conscients que nous devrons à chaque fois notifier les personnes concernées. Nous ne pourrions y échapper que si nous mettons en place des mesures de protection techniques et organisationnelles appropriées, que si nous prenons des
mesures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées n’est plus susceptible de se matérialiser ou si une telle notification entraînerait des efforts disproportionnés.

L'APD peut avoir une interprétation différente. Nous devrons donc toujours pouvoir justifier que notre choix s’inscrit dans le cadre de ces exceptions.

Compte tenu des sanctions applicables en cas de manquement à l’obligation de notification (10 M€ ou 2 % du CA), nous prévoyons une procédure en amont permettant de gérer cette crise et nous documentons nos choix quant au type de notification adopté.


Marc Evrard               Carine Vander Motte        Magdalina Bitsadze             Antoine Dechamps

 

Lu et approuvé *       Lu et approuvé *               Lu et approuvé *                  Lu et approuvé *




* Les documents légaux et signés sont à votre disposition dans nos bureaux.