Une violation de données est un incident de sécurité, intentionnel ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles.
La violation de données peut se caractériser par la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles ou l’accès non autorisée à de telles données de manière accidentelle ou illicite.
A titre d’exemples, constituent des violations de données :
- L’envoi d’un mail contenant des données personnelles au mauvais destinataire
- La perte d’une clé USB non sécurisée contenant un fichier de clients
- La suppression accidentelle de données clients
Tous les organismes traitant des données personnelles doivent mettre en place des mesures pour sécuriser les données qu’ils traitent et donc prévenir les violations de données ainsi que réagir de manière adéquate en cas de violation.
Si la violation de données présente un risque pour les personnes concernées, le responsable de traitement devra effectuer une notification à la CNIL dans les 72 h et, en cas de risque élevé pour les personnes concernées, celles-ci devront en être informées.
Article 32 du RGPD – Sécurisation des données
Article 33 du RGPD – Notification à une autorité de contrôle d’une violation de données à caractère personnel