Le 14 janvier, le Comité Européen à la Protection des Données (« CEPD ») a adopté de nouvelles lignes directrices relatives aux notifications de violations de données. [1]
Des lignes directrices sur les notifications de violations de données avaient déjà été publiées par le G29 en 2017 mais elles restaient très théoriques et surtout antérieures à l’entrée en application du RGPD.
Instruites par la pratique, ces nouvelles lignes directrices du CEPD présentent des cas concrets de violations de données et rappellent les obligations des responsables de traitement correspondantes.
Tout d’abord, le CEPD rappelle que le RGPD oblige les responsables de traitement à :
Le CEPD recommande ensuite aux responsables de traitement d’avoir leur propre « Manuel sur la gestion des violations de données à caractère personnel » afin de répondre aux exigences du principe d’accountability et de protection des données dès la conception.
Puis, le CEPD présente différents cas de violations de données à caractère personnel possible fondés sur l’expérience des différentes autorités de supervision depuis l’entrée en application du RGPD.
Six catégories de causes de violations de données sont ainsi identifiées :
Pour chaque catégorie, le CEPD indique aux responsables de traitement :
Ces lignes directrices présentent donc un réel aspect pratique et ont pour objectif d’aider les responsables de traitement à évaluer les risques liés aux violations de données et ainsi déterminer dans quels cas une notification à l’autorité de supervision ou aux personnes concernées est nécessaire.
Ces lignes directrices font l’objet d’une consultation publique jusqu’au 2 mars 2021.
[1] Lignes directrices sur les exemples relatifs aux notifications de violations de données, EDPB 01/2021, adoptées le 14 janvier 2021