La notification d’un vol ou fuite de données personnelles est une obligation légale
Si vous constatez que des données à caractère personnel ont subi une fuite ou un vol dans votre établissement, vous n’avez pas le choix, il est nécessaire de le déclarer à la CNIL dans un délai de 72h maximum (24h pour un premier signalement, 72h pour la transmission complète des informations).Par violation / fuite on entend :
- la destruction,
- la perte,
- l’altération,
- la divulgation ou l’accès non autorisé à ces données personnelles (que ce soit accidentel ou volontairement illicite)
- la non disponibilité
Pour être prêt en cas de crise, il est impératif que votre référentiel RPGD soit prêt et aussi complet que possible.
Comment déclarer
- Vous vous connectez sur la page de déclaration des incidents de la CNIL
- Vous remplissez le formulaire sur le site de la CNIL
Vous pouvez également vous rendre sur la page contact de la CNIL.
Mais aussi…
Les centres de santé (hôpitaux, cliniques, centres de soins, structures pour personnes âgées, handicapées et dépendantes) devront notifier les incidents graves de sécurité concernant leurs données aux Agences Régionales de Santé (ARS)
Les Opérateurs d’importance vitale (OIV), les Opérateurs de services essentiels (OSE) et les Les Fournisseurs de services numériques (FSN) ont l’obligation de déclarer les incidents de sécurité de leur système d’information à l’Agence Nationale de la Sécurité des Systèmes d’Information (Anssi).
Les Prestataires de services de paiement (PSP) ont eux l’obligation de déclarer leurs problèmes de sécurité à la Banque de France
Pour aller plus loin
- consulter le site de la CNIL
- la page contact de la CNIL