Depuis le 12 décembre 2018, en vertu du règlement (UE) 2018/1725, il incombe à l’ensemble des institutions et des organes de l’UE de communiquer au CEPD certains types de violations de données à caractère personnel. Dans la mesure du possible, chaque institution de l’UE doit informer le CEPD 72 heures au plus tard après avoir pris connaissance de la violation. Si la violation est susceptible de porter préjudice aux droits et aux libertés des personnes, l’institution de l’Union doit également en informer les personnes concernées dans les plus brefs délais.
Les institutions de l’UE doivent veiller à ce que des mécanismes de prévention et de détection des violations de données à caractère personnel soient mis en place, ainsi que des procédures d’enquête et de rapport interne. Elles doivent également veiller à être en mesure, lorsqu’elles détectent une violation de données à caractère personnel, de réagir efficacement pour atténuer les effets négatifs de la violation sur les personnes dont les données ont été compromises. Elles doivent par ailleurs tenir un registre de toutes les violations de données à caractère personnel, y compris tous les détails afférents à la violation, indépendamment de toute obligation de notification au CEPD.
Comment les institutions et organes de l’UE doivent-ils réagir en cas de violation de données à caractère personnel?
Le CEPD a publié des lignes directrices sur les notifications de violations de données à caractère personnel à l’intention des institutions et organes de l’Union européenne. Celles-ci fournissent des conseils pratiques sur la manière de se conformer au règlement. Ces lignes directrices décrivent l’approche que vous devriez adopter pour réagir de manière adéquate en cas de violation de données à caractère personnel. Nous vous conseillons de les lire attentivement avant de notifier une telle violation.
Comment notifier une violation de données à caractère personnel au CEPD
Vous pouvez signaler une violation de données à caractère personnel en remplissant le formulaire en ligne ou en téléchargeant le formulaire et en l’envoyant à l’adresse électronique suivante : DATA-BREACH-NOTIFICATION@edps.europa.eu.
Toutes les communications doivent être cryptées. Par conséquent, lors de l’envoi d’un courriel concernant une violation de données à caractère personnel à l’adresse électronique de notification de violation de données du CEPD, toutes les pièces jointes doivent être cryptées (fichiers zip) et le mot de passe doit être communiqué au CEPD par d’autres moyens (message textuel ou appel téléphonique). Veuillez mentionner dans votre courriel un numéro de téléphone distinct que nous pourrons utiliser pour vous contacter afin d’obtenir le mot de passe.
- Si vous souhaitez signaler une violation de données à caractère personnel via notre formulaire web en ligne, veuillez lire le guide de l’utilisateur.
- Si vous souhaitez télécharger le formulaire en ligne, veuillez cliquer ici.
Si, pour une raison quelconque, votre notification initiale était incomplète, vous devez soumettre des informations supplémentaires dès qu’elles seront disponibles. Dans ce cas, veuillez soumettre un nouveau formulaire de notification indiquant le numéro de référence de l’affaire fourni par le CEPD.
Si vous envoyez des notifications mises à jour à la boîte aux lettres fonctionnelle, veuillez inclure les informations suivantes dans l’objet du courriel: [Notification de violation mise à jour] [Nom de l’institution/organe de l’UE] [Numéro de référence du dossier].
Avis relatif à la protection des données
Des règles spécifiques s’appliquent à la gestion des violations de données relatives aux données opérationnelles à caractère personnel au sein d’Europol conformément aux articles 34 et 35 du règlement (CE) nº 2016/794.
Conférence CEPD-ENISA: pour appréhender le risque lié aux violations de données à caractère personnel
Le Contrôleur européen de la protection des données et l’ENISA organisent une conférence à Bruxelles le 4 avril 2019 sur la notification de violations de données à caractère personnel.
La conférence vise à aborder l’aspect de l’évaluation du risque lié à la violation des données personnelles dans le cadre du règlement général sur la protection des données (RGPD) [(UE) 2016/679] et du règlement (UE) 1725/2018 sur le traitement des données personnelles par les institutions et organes de l’UE.
Pour obtenir plus d’informations et vous inscrire, veuillez suivre ce lien.