Notification fuite de données : (copie)
Selon le RGPD, une « violation de données à caractère personnel » est toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.
C’est extrêmement large comme définition.
Le risque d’une cyber-attaque concerne tous les responsables de traitement, les acteurs majeurs mais aussi les sociétés de toute taille et de toute nature.
Le RGPD renforce sensiblement les obligations en matière de sécurité des données, de détection et de notification des failles de sécurité. Le RGPD uniformise la façon dont les responsables de traitement doivent appréhender les failles de sécurité ainsi que la communication de crise adoptée en réponse à l’attaque.
Le Guide de la CNIL (France) des mesures à prendre pour traiter les risques sur les libertés et la vie privée (2012):
https://www.cnil.fr/sites/default/files/typo/document/CNIL-Guide_securite_avance_Mesures.pdf
Responsable du traitement :
Nom de l'organisation
Numéro d'entreprise
Rue - N°- Boite
Code postal - Ville
Pays
Personne de contact pour la fuite de données:
Numéro de téléphone
Est-ce que la personne de contact est le conseiller en sécurité de l'information?
Indiquez les données de la personne responsable de la communication (le cas échéant).
Détection de la fuite de données :
Brève description de la fuite de données
Date de l'alerte de sécurité
Date et heure de la constatation de la brèche de sécurité
Coordonnées de la personne qui donne l'alerte de sécurité
Manière dont la fuite de données a été constatée
Cause et apparition de la fuite de données
Date et heure de la survenance de la fuite de données
Origine de la fuite de données (Cochez une ou plusieurs cases)
Date et heure de la fin de la fuite de données :
Description de l'incident à l'origine de la brèche de sécurité
Nature de la fuite de données (Cochez une ou plusieurs cases)
Des données ont-elles été divulguées à des tiers?
A qui des données ont-elles été divulguées à des tiers?
Ampleur de la fuite de données :
Les données ayant fait l'objet de la fuite de données concernent-elles des personnes dans d'autres pays?
Traitement(s) concerné(s):
Veuillez compléter le questionnaire ci-dessous avec la plus grande précision. Les réponses peuvent toujours être
étayées par des documents complémentaires. Dans certains cas, ces documents sont explicitement demandés
L'entreprise est-elle responsable ou sous-traitant de traitements de données à caractère personnel?
Finalité du traitement des données
Nature des données traitées (Cochez une ou plusieurs cases)
Données sensibles traitées (Cochez une ou plusieurs cases)
Taille du traitement(s) concerné
Nombre de données enregistrées:
Nombre de personnes (auxquelles les données se rapportent):
Autres tiers impliqués :
Un tiers ou sous-traitant est-il impliqué dans la fuite de données ou fournit-il des services ou des produits en relation avec la fuite de données?
Gestion de l'incident:
Mesures de sécurité techniques et organisationnelles existant au moment de la fuite de données
Actions entreprises (Cochez une ou plusieurs cases)
Actions prévues (Cochez une ou plusieurs cases):
Une journalisation est-elle disponible ?
Date à laquelle les résultats de l'enquête relative à l'incident seront probablement disponibles:
Risque potentiel ou effectif de la fuite de données pour les personnes concernées
Mesures techniques et d'organisation sont/seront prises pour limiter ou éviter cet impact?
Si la fuite de données est susceptible de porter préjudice à la protection des données à caractère personnel ou à la vie privée,
quelles mesures techniques et d'organisation sont/seront prises pour limiter ou éviter cet impact?