Organisations
Obligations du CSE sur la violation de données selon le règlement européen
Le règlement général sur la protection des données (RGPD) impose à chaque CSE en tant que responsable de traitement de :
- documenter les violations de données personnelles en interne ;
- notifier les violations présentant un risque pour les droits et libertés à la CNIL et, dans certains cas, lorsque le risque est élevé, aux gens concernés ;
- et de tenir un registre des notification de sécurité.
Une violation de la sécurité se caractérise par la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données, de manière accidentelle ou illicite.
Il s’agit de tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles.
Exemples :
- suppression accidentelle de données des adhérents au CSE et non sauvegardées par ailleurs (cas concret => destruction par le feu d’un « data centre ») ;
- perte d’une clef USB non sécurisée contenant une copie de la base des adhérents du CSE ;
- introduction malveillante dans la base de données du CSE et modification des informations via le site du sous-traitant (site web).
En synthèse
DPO = délégué à la protection des données (interne au CSE) ou le référent RGPD externalisé.
RSSI = responsable de la sécurité des systèmes d'information ou responsable des moyens informatiques du CSE.
Pour qu'il y ait violation de données personnelles, que la cause soit accidentelle ou illicite, il faut que deux conditions soient réunies :
- existence d’un traitement de données à caractère personnel ;
- ces données personnelles font l’objet :
- d’une perte de disponibilité,
- et/ou d’une perte d’intégrité,
- et/ou d’une perte de confidentialité (visible par tous ou par des gens non autorisés).
Chaque CSE a la possibilité de se conformer seul ou par l’intermédiaire de professionnel qualifié en protection des données personnelles, pour identifier les actions à instaurer, gérer la mise en conformité en mode « projet » et assurer le suivi dans le temps.