Une fuite de données vous inquiète ? Un courtier vous oriente, gratuitement.
Qu’est-ce qu’une violation de données
Une violation de données personnelles est tout incident qui entraîne la destruction, la perte, l’altération ou la divulgation non autorisée de données personnelles. Un rançongiciel qui exfiltre votre fichier clients en est un exemple typique.
Incident de sécurité touchant des données personnelles. La CNIL encadre les obligations qui en découlent au titre du RGPD.
Notifier la CNIL sous 72 heures
Dès que vous avez connaissance d’une violation susceptible d’engendrer un risque pour les personnes, vous disposez de 72 heures pour la notifier à la CNIL. Passé ce délai, la notification doit être justifiée. L’absence de notification est une faute en soi, distincte de l’attaque.
Les 72 heures courent dès la prise de connaissance de la violation, week-end compris. D’où l’intérêt d’un processus préparé à l’avance.
Besoin d’aide pour gérer le volet RGPD d’un incident ? On vous accompagne.
Quand informer les personnes concernées
Si la violation présente un risque élevé pour les droits et libertés des personnes, par exemple un vol de données bancaires ou de santé, vous devez aussi informer directement les personnes concernées, dans les meilleurs délais et en termes clairs.
Les sanctions RGPD
Le RGPD prévoit des sanctions pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu. À cela s’ajoute le préjudice de réputation et le coût de l’attaque elle-même.
Comment se préparer
La clé est l’anticipation : tenir un registre, désigner un référent, écrire une procédure de notification et savoir qui appeler. L’assurance cyber complète ce dispositif en finançant l’accompagnement juridique et les frais de notification. C’est aussi cohérent avec vos obligations NIS2.
Vérifiez que votre contrat cyber inclut la prise en charge des frais de notification et l’assistance juridique RGPD. Faisons le point ensemble.
Questions fréquentes
Quel délai pour notifier la CNIL ?
72 heures à compter de la prise de connaissance de la violation présentant un risque.
Faut-il toujours informer les personnes ?
Seulement si la violation présente un risque élevé pour leurs droits et libertés.
Quelles sanctions RGPD ?
Jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel.
Un rançongiciel est-il une violation de données ?
Oui, dès lors que des données personnelles sont touchées ou exfiltrées.
L’assurance cyber aide-t-elle sur le RGPD ?
Oui, en prenant en charge les frais de notification et l’assistance juridique.
Comment se préparer efficacement ?
Tenez un registre, désignez un référent et écrivez une procédure de notification.
Sécurisez vos données et votre conformité. Étude cyber gratuite, par un courtier à Rennes.
Expert en assurance cyber et RC Pro
Courtier spécialisé en cyber-risques et RC Pro, Nicolas accompagne les dirigeants et PME de Rennes dans la protection de leur activité face aux menaces numériques.