Checklist de notification des violations de donnees personnelles pour fondateurs et responsables conformite

La notification des violations de donnees personnelles fonctionne mieux lorsque l'equipe passe vite de l'incertitude a une decision documentee. La checklist consiste a confirmer si des donnees personnelles sont concernees, ouvrir un dossier d'evaluation, attribuer les responsables, evaluer le risque pour les personnes, decider si une autorite ou les personnes concernees doivent etre informees, conserver les preuves et suivre la remediation jusqu'a la cloture.

Selon l'article 33 du RGPD, le responsable du traitement doit notifier l'autorite competente sans retard injustifie et, si possible, dans les 72 heures apres avoir pris connaissance d'une violation, sauf si celle-ci n'est pas susceptible d'engendrer un risque pour les droits et libertes des personnes. L'article 34 ajoute une communication aux personnes lorsque la violation est susceptible d'engendrer un risque eleve. Le sous-traitant doit notifier le responsable sans retard injustifie.

Ce que cette checklist evite

Les echecs commencent souvent avant la decision de notification. L'equipe voit un evenement de securite, mais ne sait pas si des donnees personnelles sont impliquees. La securite contient l'incident, mais privacy et legal n'ont pas les faits. Le support client entend parler du sujet avant que les obligations contractuelles soient verifiees. La direction demande si les 72 heures ont commence, mais personne ne connait l'heure de prise de connaissance.

Cette checklist relie reponse a incident, analyse vie privee, obligations clients, gestion fournisseurs et preuves d'audit.

La checklist

Utilisez-la pour tout incident de securite ou de donnees pouvant toucher des donnees personnelles dans la production, le support, les logs, l'analytique, le CRM, les sauvegardes, les fonctions IA, les fournisseurs, les systemes RH ou les datasets clients.

1. Ouvrir le dossier d'evaluation

N'attendez pas de savoir si l'incident est notifiable. Le dossier sert a prendre cette decision. Notez titre, reference, heure de detection, canal, premier examinateur, heure possible de prise de connaissance, systemes touches, mesures initiales, responsables incident, privacy, legal, securite et communication, statut, faits ouverts et prochaine revue.

2. Confirmer la presence de donnees personnelles

La definition RGPD couvre destruction, perte, alteration, divulgation non autorisee ou acces non autorise a des donnees personnelles. Elle couvre confidentialite, integrite et disponibilite. Demandez si des personnes identifiees ou identifiables sont concernees, si des utilisateurs, employes, prospects ou administrateurs sont touches, si des logs, pieces jointes, exports, sauvegardes ou prompts IA sont impliques, et si les donnees ont ete exposees, modifiees, perdues ou rendues indisponibles.

3. Identifier le role de l'entreprise

Une entreprise SaaS peut etre responsable du traitement pour les donnees RH, prospects, facturation ou comptes, et sous-traitant pour le contenu client. Pour chaque dataset, documentez le role, le contrat applicable, les delais de notification et la personne qui decide.

4. Construire les faits minimaux de l'article 33

Recueillez categories et nombre approximatif de personnes, categories et nombre approximatif d'enregistrements, types de donnees, fenetre temporelle, acces, telechargement, divulgation, alteration, perte ou indisponibilite, etat de confinement, consequences probables et mesures prises ou prevues.

5. Evaluer risque et risque eleve separement

Article 33 et article 34 n'ont pas le meme seuil. Analysez sensibilite, identifiabilite, gravite, probabilite d'abus, identifiants, donnees financieres ou de sante, categories particulieres, enfants, chiffrement, duree, echelle et preuves d'acces reel.

6. Decider qui informer

Separez autorite, personnes concernees, clients, fournisseurs, assureur, direction interne et board. Pour chaque public, notez obligation, base, delai, responsable, approbateur, contenu et suivi. Pour les clients, relisez le DPA et le contrat.

7. Preparer les preuves

Conservez timeline, logs, tickets, captures, notes techniques, analyse de perimetre, role, evaluation de risque, decisions, approbations, copies des notifications, remediations, analyse de cause et ameliorations de controle.

8. Cloturer correctement

La notification n'est pas la fin. Verifiez que les configurations, droits, code ou problemes fournisseurs ont ete corriges, que les clients ont recu les mises a jour, que la communication aux personnes a ete recontrolee, que les preuves sont conservees et que les processus produit, securite, support et fournisseurs ont ete mis a jour.

FAQ

Que doivent comprendre les equipes?

La notification est un workflow sensible au temps avec faits securite, evaluation privacy, decisions juridiques, obligations clients, preuves, remediations et responsabilites.

Quand s'applique-t-elle aux equipes SaaS?

Lorsqu'une violation de securite touche des donnees personnelles par destruction, perte, alteration, divulgation non autorisee, acces non autorise ou indisponibilite.

Que documenter en premier?

Heure de detection, heure possible de prise de connaissance, systemes et donnees touches, role de l'entreprise, confinement, responsables, faits ouverts et prochaine revue.

Sources

• European Union, General Data Protection Regulation.
• European Data Protection Board, Guidelines 9/2022 on personal data breach notification under GDPR.
• Information Commissioner's Office, Personal data breaches - a guide.