LPD Comment déclarer une fuite de données : Un guide étape par étape (Data Breach)

data breach lpd

La sécurité des données est au cœur des préoccupations de nombreuses entreprises et organisations.

Malheureusement, les fuites de données peuvent survenir, et lorsqu’elles se produisent, il est essentiel de savoir comment réagir rapidement et efficacement.

Dans cet article, nous vous guiderons à travers le processus de déclaration d’une fuite de données selon les directives suisses.


Comment faire pas à pas pour déclarer sur Data Breach

Les questions à se poser :

  • Quelle est l’ampleur de la fuite ?
  • Quelles données ont été compromises ?
  • Comment la fuite s’est-elle produite ?
  • Qui est responsable de la fuite ?

Les atteintes à la sécurité des données doivent être signalées dès que possible.

Elles doivent être signalées si la violation est susceptible de présenter un risque élevé pour la personnalité des personnes concernées. 

Les preuves à conserver :

  • Logs et journaux d’activité
  • Témoignages des employés ou des parties concernées
  • Toutes communications ou correspondances liées à la fuite

Étapes pour déclarer sur Data Breach :

Connectez-vous au portail officiel de Data Breach.

data breach lpd

Type de rapport :

  • Nouveau rapport : Sélectionnez cette option si vous déclarez une fuite pour la première fois.
  • Rapport de suivi : Utilisez cette option si vous mettez à jour une déclaration précédente.

Conseil : Assurez-vous de suivre la situation et de mettre à jour le rapport si de nouvelles informations deviennent disponibles.


Déclarant :

  • Contrôleur de données : L’entité responsable de la gestion des données.
  • Sujet des données / Lanceur d’alerte : La personne concernée ou quelqu’un signalant la fuite.
  • Processeur : L’entité traitant les données pour le compte du contrôleur.

Conseil : Identifiez clairement votre rôle pour assurer une communication appropriée.


Évaluation des risques :

  • Élevé : Si la fuite présente un risque élevé pour les droits fondamentaux des personnes concernées.
  • Pas élevé : Si le risque est considéré comme faible.

Conseil : Une évaluation précise du risque est cruciale. En cas de doute, il est préférable de considérer le risque comme élevé.


Informations générales :

  • Description de l’incident : Fournissez autant de détails que possible sur la fuite.
  • Type de violation : Sélectionnez toutes les catégories pertinentes (modification, destruction, divulgation, perte).
data breach lpd

Conseil : Documentez chaque étape menant à la fuite pour aider à identifier les causes profondes.


Cadre temporel :

  • Indiquez la date de début de la fuite et si elle est toujours en cours.

Conseil : Une chronologie précise peut aider à comprendre la gravité de la fuite.


Données concernées :

  • Sélectionnez toutes les catégories de données affectées (noms, adresses, données de santé, etc.).
data breach lpd

Conseil : Plus vous êtes précis, mieux c’est. Cela aide à évaluer l’impact sur les personnes concernées.


Conséquences pour les sujets de données :

  • Sélectionnez toutes les conséquences possibles (vol d’identité, fraude, perte d’emploi, etc.).
data breach lpd

Conseil : Anticipez les conséquences pour prendre des mesures appropriées.


Mesures :

  • Décrivez les mesures prises pour remédier à la fuite et celles prévues pour atténuer les conséquences.

Conseil : Agissez rapidement pour contenir la fuite et informez toutes les parties concernées.


Information aux sujets de données :

  • Indiquez comment et quand les personnes concernées ont été ou seront informées.

Conseil : La communication transparente est essentielle pour maintenir la confiance.

  1. Remplissez le formulaire de déclaration, en fournissant tous les détails pertinents sur la fuite.
  1. Soumettez le formulaire et conservez une copie pour vos dossiers.

Rappel de la règle

Selon l’article 24 de la législation suisse, en cas de violation de la sécurité des données entraînant un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, le responsable du traitement doit annoncer la violation au PFPDT dans les meilleurs délais.

L’annonce doit indiquer la nature de la violation, ses conséquences et les mesures prises ou envisagées. Si nécessaire, le responsable du traitement doit également informer la personne concernée.


Comment réagir

  • Évaluation rapide : Évaluez l’ampleur de la fuite et déterminez quelles données ont été compromises.
  • Communication : Informez toutes les parties concernées, y compris les autorités compétentes et les personnes dont les données ont été compromises.
  • Correction : Prenez des mesures pour contenir la fuite et empêcher de futures violations.
  • Documentation : Documentez tout ce qui concerne la fuite, y compris comment elle s’est produite, les mesures prises en réponse, et toute communication liée à la fuite.
  • Examen : Après avoir géré la situation immédiate, examinez vos protocoles de sécurité et déterminez comment vous pouvez éviter de futures fuites.

Conclusion

La déclaration d’une fuite de données est une étape cruciale pour garantir la transparence et la confiance avec vos clients et partenaires. En suivant ces étapes et en comprenant les obligations légales, vous pouvez vous assurer que vous répondez de manière appropriée et efficace à une telle situation.

Vous êtes-vous déjà demandé comment votre entreprise réagirait à une fuite de données ?

Avez-vous les protocoles appropriés en place ?

Et surtout, comment pouvez-vous éviter que cela ne se reproduise à l’avenir ?