PROCÉDURE DE VIOLATION DE DONNÉES
1. Objet
La présente Procédure est établie par JELIC, située 66 Avenue des Champs-Élysées, 75008 Paris repris sous le numéro d'inscription, Siren : 447 820 150 (ci-après dénommé(e) « le responsable du traitement »).
L’objet de la présente Procédure est de décrire les mesures prises par JELIC, ci-après le responsable du traitement, afin de prévenir les violations de données et de réagir de manière appropriée en cas d’incident.
Cette Procédure globale couvre l’ensemble du processus, c’est-à-dire la mise en place de mesures visant à :
a) Détecter immédiatement une violation ; et
b) L’endiguer rapidement ; et
c) Analyser les risques engendrés par l’incident et à déterminer s’il convient de notifier l’autorité de contrôle, voire les personnes concernées.
Il y a une violation de données personnelles lorsque :
a). Le responsable du traitement a mis en œuvre un traitement de données personnelles ; et
b) Ces données ont fait l’objet d'une violation (perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite).
La présente Procédure s’inscrit dans le souhait du responsable du traitement, d’agir en toute transparence, dans le respect de ses dispositions nationales et du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après dénommé le « règlement général sur la protection des données »).
2. Sécurité
Afin de prévenir toute violation de données, le responsable du traitement a mis en place de strictes mesures de sécurité.
Le responsable du traitement porte une attention particulière à la protection de la vie privée de ses utilisateurs et s’engage par conséquent à prendre les précautions raisonnables requises pour protéger les données à caractère personnel récoltées contre la perte, le vol, la divulgation ou l’utilisation non autorisée.
Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité du traitement et des données récoltées au regard des risques présentés par le traitement et de la nature des données à protéger adapté au risque. Il tient compte de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les droits et libertés des utilisateurs.
Le responsable du traitement utilise toujours les technologies de cryptage qui sont reconnues comme les standards industriels au sein du secteur IT quand il transfert ou reçoit les données sur le site web.
Le responsable du traitement a mis en place des mesures de sécurité appropriées pour protéger et éviter la perte, l’usage abusif ou l’altération des informations reçues sur le site web.
Il teste et évalue régulièrement l’efficacité des mesures techniques et organisationnelles afin d’assurer la sécurité.
3. Réaction en cas d’incident
Dans le cas où les données à caractère personnel que le responsable de traitement contrôle devaient être compromises, il agira rapidement afin d’identifier la cause de cette violation, notamment en documentant l’incident en interne et en évaluant le risque, et il prendra les mesures de remédiation adéquates, le cas échéant en notifiant l’incident à l’autorité de contrôle et/ou en le communiquant à la personne concernée.
4. Documenter en interne l’incident
Il s’agit de déterminer :
-
La nature de la violation ; et
-
Si possible, les catégories et le nombre approximatif de personnes concernées par la violation : et
-
Les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ; et
-
Décrire les conséquences probables de la violation de données ; et
-
Décrire les mesures prises ou envisagées pour éviter que cet incident se reproduise ou en atténuer les éventuelles conséquences négatives
5. L’évaluation du risque
L’appréciation de l’évaluation du risque sera faite au cas par cas par le responsable du traitement et tiendra compte des éléments suivant :
a) Le type de violation (affectant l’intégrité, la confidentialité ou la disponibilité des données) ; et
b) La nature, la sensibilité et le volume des données personnelles concernées ; et
c) La facilité d’identifier les personnes touchées par la violation ; et
d) Les conséquences possibles de celles-ci pour les personnes ; et
e) Les caractéristiques de ces personnes (enfants, personnes vulnérables, etc.) ; et
f) Le volume de personnes concernées ; et
g) Les caractéristiques du responsable du traitement (nature, rôle, activités).
6. Notification à l’autorité de contrôle
En cas de violation de données à caractère personnel, le responsable du traitement notifiera la violation concernée à l’autorité de contrôle compétente dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.
La notification doit, à tout le moins :
a) Décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ; et
b) Communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ; et
c) Décrire les conséquences probables de la violation de données à caractère personnel ; et
d) Décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
7. Communication à la personne concernée
Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.
La communication à la personne concernée décrit en des termes clairs et simples la nature de la violation de données à caractère personnel et contient au moins les informations suivantes :
a) La nature de la violation ; et
b) Le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ; et
c) Une description des conséquences probables de la violation de données à caractère personnel ; et
d) Une description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
La communication à la personne concernée n'est pas nécessaire si l'une ou l'autre des conditions suivantes est remplie :
a) Le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telles que le chiffrement ; ou
b) Le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées n'est plus susceptible de se matérialiser ; ou
c) Elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace.