Que faire en cas de fuite de données ?

Si votre organisme est victime d’une violation de données, vous devez tout d’abord impérativement documenter l’incident, et mettre en place des contre-mesures si cela est possible.

Centralisez dans un fichier la nature de la violation de données, avec si possible les catégories et le nombre approximatif de personnes concernées par la violation, les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés, décrivez les conséquences probables de la violation de données, décrivez les mesures prises ou que vous envisagez de prendre pour éviter que cet incident ne se reproduise ou pour atténuer les éventuelles conséquences négatives.

Ce document récapitulatif est à envoyer à la CNIL et répond de plus à l’obligation de documentation interne.

Si la violation de données constitue un risque au regard de la vie privée des personnes concernées, vous devez notifier la CNIL dans les meilleurs délais.
En cas de risque élevé, vous devez également notifier les personnes concernées. En cas de doute, vous pouvez contacter la CNIL qui vous indiquera s’il est nécessaire d’informer les personnes.

La CNIL pose un cadre strict sur le délai de notification :
Une notification initiale dans les 72 heures maximum après le constat de l’incident (si les 72 heures sont dépassées, vous devrez expliquer les raisons de ce retard).
Vous pourrez ensuite envoyer une notification complémentaire dès que vous avez pu rassembler toutes les informations nécessaires.
Pour notifier une violation de données, vous pouvez vous rendre sur la page https://notifications.cnil.fr/notifications/index