Documenter et suivre vos violations

Ce guide vous permettra de recenser les violations de données personnelles qui touchent votre entité et de suivre leur gestion lorsqu'un risque existe.

Dans cet article

Qu'est-ce qu'une violation ?

Comprendre la fiche violation

Ajouter une violation

Evaluer un risque

Gérer un risque

Planifier la gestion d'une violation

Importer des justificatifs

Qu'est ce qu'une violation ?

L’article 4.12 du RGPD définit une violation de données à caractère personnel comme une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

Comprendre la fiche violation

Pour accéder au module Violations et y effectuer des actions, vous devez disposer de la permission Accès page Violations.

Toutes les fiches violation présentes sur le module sont organisées en 5 onglets :

  • Description 
  • Evaluation des risques
  • Actions prises
  • Actions
  • Documents

 

A l'ajout d'une violation, vous renseignerez des informations dans les onglets Description et Evaluation des risques. Si des notifications sont nécessaires vous les retrouverez dans l'onglet Actions prises. Quant aux deux derniers onglets, Actions et Documents, ils vous accompagneront dans la gestion et le suivi de votre violation.

 

Ajouter une nouvelle violation

Avec le logiciel RGPD, le recensement d'une violation sur votre entité s'effectue en quelques clics. Rendez-vous sur le module Violations Icon - Violations-1 puis cliquez sur Ajouter une violation

Afin de gagner du temps et de faciliter la description de la violation, les champs à renseigner sont similaires à ceux présents sur le formulaire de la CNIL. Et si vous n'avez pas en votre possession les informations demandées, vous pouvez revenir à tout moment sur la violation. En effet, les informations que vous saisissez sont automatiquement enregistrées.

Ce point vous aidera à compléter les sections de l'onglet Description.

Identification

Sous Identification, décrivez le plus précisément possible le contexte de la violation. Les champs à compléter vous permettront d'identifier quand, pourquoi et comment cette violation a eu lieu.

Veillez à accorder une importance particulière à la date de prise de connaissance de la violation. En effet, si la violation présente un risque, vous avez 72h après l'avoir constatée pour notifier l'autorité de contrôle. Passé ce délai, l'autorité de contrôle vous demandera de justifier votre retard.

 

Violations - Description-1

Catégorie de données et de personnes

Renseigner les catégories de données et les catégories de personnes impactées par une violation vous aide à évaluer l'importance de l'impact. De fait, plus la catégorie de données est sensible plus l'impact est important.

Veuillez noter que les catégories de personnes proposées sont uniquement celles qui figurent dans le référentiel. La violation étant associée à un traitement, vous ne pourrez pas créer une catégorie de personnes à cette étape.

 

Traitements

Le logiciel RGPD vous permet d'indiquer les traitements qui sont concernés par la violation. Cette association vous permettra de consulter les informations liées au traitement et donc de consulter les catégories de personnes et de données potentiellement impactées par une violation.

 

Section Traitements sur la page description d'une violation

 

 

Evaluer une violation

Maintenant que vous avez complété la description de la violation, il est temps de l'évaluer. L'objectif est d'indiquer ses conséquences probables puis de déterminer la présence d'un risque et son importance. 

Toutes les violations ne se valent pas et n'entrainent pas les mêmes actions. C'est pourquoi, pour chaque réponse nous vous recommandons de notifier ou non l'autorité de contrôle et les personnes concernées par la violation.

En savoir plus sur l'évaluation d'une violation.

 

Un champ texte pour décrire les conséquences d'une violation et espace d'évaluation d'un risque

 

 

 

Gérer un risque

Le logiciel RGPD ne vous permet pas uniquement de recenser vos violations. Il vous permet également de vérifier et suivre les actions à effectuer quand une violation présente un risque.

Ainsi, depuis l'onglet Actions prises, vous pouvez :

  • Décrire les mesures envisagées ou prises pour éviter que ce type de violations se reproduise.
  • Vérifier qui doit être notifié de la violation (l'autorité de contrôle ou/et les personnes concernées).
  • Le délai à respecter pour les informer.
  • Indiquer si et quand vous avez notifié l'autorité de contrôle et les personnes concernées.

Si le délai de notification n'est pas respecté, vous pourrez justifier votre retard dans le champs Commentaires.

 

 

Planifier la gestion d'une violation

Chaque fiche violation est accompagnée d'une liste de tâches. Bien que facultatif, cet outil vous aide à organiser la gestion de la violation et facilite la collaboration entre collègues.

 

image-png-Dec-05-2022-01-30-33-6656-PM

Pour ajouter une action, cliquez sur l'onglet Actions puis sur le bouton Ajouter.

Vous pourrez : 

  • Attribuer un niveau de priorité aux actions.
  • Suivre l'état d'avancement des actions.
  • Attribuer les actions à un ou plusieurs collaborateurs.
  • Planifier une date d'échéance à une action.

 

 

Importer des justificatifs

L'onglet Documents, vous permet de compléter la violation avec de documents contextuels. Cela peut tout aussi bien être des rapports d'incidents, des dépôts de plaintes, l'export au format PDF de la notification auprès de l'autorité de contrôle ou encore la copie du mail envoyé aux personnes concernées par la violation.

Vous retrouverez les documents ajoutés à cette violation dans le module de gestion des documents, Accountability.