Le règlement européen sur la protection des données RGPD ou GDPR, sera applicable à partir du 25 mai 2018 dans tous les pays de l’Union Européenne et donc en France. Nous avons examiné plusieurs aspects de ce nouveau règlement et notamment comment préparer votre association. Que faire cependant si malgré tous vos efforts, votre association a subi une violation de ses données personnelles ?
Pour recevoir notre guide pratique gratuit « Les associations et le Règlement Général sur la Protection des Données (RGDP ou GDPR) », cliquez ici.
Quelle sécurité devez vous assurer ?
Selon l’article 32 du RGPD votre association doit mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:
a) la pseudonymisation et le chiffrement des données à caractère personnel;
b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
Assurez vous que votre système actuel ou le système de gestion des données que vous entendez utiliser est suffisamment sécurisé. Un bon CRM est probablement recommandé.
Qu’entend-on par violation de données à caractère personnel ?
L’article 4 du RGPD définit la violation de données à caractère personnel comme une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.
Votre association peut donc se trouver dans un des 3 scénarios suivants:
- violations de confidentialité : c’est le cas où il y a eu divulgation des données avec un accès à des données personnelles accidentelle ou non-autorisée ;
- violations de disponibilité : c’est à dire en cas de perte ou de destruction de données personnelles accidentelle ou non-autorisée ;
- violations d’intégrité : c’est à dire en cas d’altération ou de modification de données personnelles accidentelle ou non-autorisée.
Que faire en case de violations des données de votre association ?
Premièrement ne pas paniquer. Alertez immédiatement les responsables de votre associations. Assurez vous de mettre en place immédiatement des mesures pour minimiser l’impact de la violation. Vous devrez ensuite notifier l’autorité responsable et parfois les personnes concernées.
Quand faut-il notifier ? quelles sont les hypothèses où une violation n’aura pas à être notifiée ?
Le règlement prévoit qu’en cas de violation, vous devrez notifier celle ci à la CNIL, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance de la violation. Attention si vous dépassez le délai de 72 heures, votre notification devra être accompagnée des motifs du retard. Cependant, la violation n’a pas à être notifiée si celle ci n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
Votre notification doit comporter les éléments suivants décrits ci-dessous. Si, il vous est impossible de fournir toutes les informations en même temps, ces informations peuvent être communiquées de manière échelonnée.
a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;
b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
c) décrire les conséquences probables de la violation de données à caractère personnel;
d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Mon association doit-elle communiquer cette violation a ses membres ou donateurs concernés ?
Potentiellement, oui. Indépendamment de votre obligation légale, vous devrez évaluer votre risque de réputation et décider si vous voulez communiquer avec vos contacts ou donateurs que leurs données ont été accidentellement dévoilées.
Le règlement prévoit que lorsqu’une violation de données est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, votre association devra en général communiquer ladite violation à la personne concernée dans les meilleurs délais (il existe quelques exceptions notamment si votre association avait pris des mesures pour rendre les informations incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement). Vous devrez décrire clairement la nature de la violation et les mesures prises pour y remédier.
***
Pour plus d’information sur le règlement européen sur la protection des données et les associations, voir :
Guide pratique gratuit « Les associations et le Règlement Général sur la Protection des Données (RGDP ou GDPR) », cliquez ici.
Association et RGPD (GDPR) : doit-on tenir un registre des traitements ?
Comment adapter vos formulaires de dons en ligne et de contact pour les rendre conformes au RGPD
VerticalSoft 