Le vol de données est un problème de plus en plus fréquent dans les entreprises et les organismes de services. Les pirates informatiques sont constamment à la recherche de nouvelles façons de s’introduire dans les systèmes informatiques pour dérober des informations sensibles.
Face à cette menace, il est important de rappeler que les entreprises et les organismes ont des responsabilités en matière de protection des données personnelles de leurs utilisateurs. Le règlement général sur la protection des données (RGPD) impose aux entreprises et aux organismes de services de prendre des mesures pour protéger les données personnelles de leurs utilisateurs et de respecter leurs droits.
En cas de violation de données, les entreprises et les organismes doivent informer les utilisateurs concernés dans les meilleurs délais et prendre des mesures pour remédier à la situation. L’article 33 du RGPD prévoit que les entreprises et les organismes doivent notifier la violation de données à l’autorité de contrôle compétente dans les 72 heures suivant sa découverte, sauf si la violation est peu susceptible d’engendrer un risque pour les droits et libertés des personnes concernées. En France, l’autorité de contrôle compétente en matière de protection des données personnelles est la Commission nationale de l’informatique et des libertés (CNIL).
Il convient de noter que cette exception s’applique uniquement si la violation de données est peu susceptible d’engendrer un risque pour les droits et libertés des personnes concernées. Cela signifie que si la violation de données est mineure et ne présente pas de risque significatif pour les personnes concernées, l’entreprise ou l’organisme n’est pas obligé de la notifier à la CNIL. Cependant, même dans ce cas, l’entreprise ou l’organisme doit prendre des mesures pour remédier à la violation de données et protéger les données personnelles des personnes concernées.
L’article 14 du RGPD prévoit également que les utilisateurs ont le droit de savoir si leurs données personnelles ont été divulguées à des tiers et, le cas échéant, de connaître l’identité de ces tiers. Si vous pensez que vos données ont été volées dans le cadre d’une violation de données, vous pouvez contacter le délégué à la protection des données (DPO) de l’entreprise ou de l’organisme pour obtenir des informations sur la protection de vos données personnelles et sur les mesures prises pour remédier à la situation.
Il est important de souligner que le RGPD s’applique à toutes les entreprises et à tous les organismes, qu’ils soient publics ou privés, dès lors qu’ils traitent des données personnelles de personnes résidant dans l’Union européenne. Les entreprises et les organismes de services doivent donc mettre en place des mesures de protection des données adaptées à leur activité et à leur taille, et désigner un délégué à la protection des données (DPO) s’ils sont soumis à cette obligation.
Voici un exemple de lettre type ou de courriel que vous pouvez utiliser pour contacter le délégué à la protection des données (DPO) d’une entreprise ou d’un organisme en cas de violation de données :
________________________________________
Objet : Demande d’informations sur la violation de données
[Nom de l’entreprise ou de l’organisme]
À l’attention du délégué à la protection des données,
Je vous écris pour vous faire part de mes inquiétudes concernant la violation de données récemment survenue au sein de votre entreprise/organisme. Je suis un utilisateur de vos services et je crains que mes données personnelles aient été compromises.
Je vous serais reconnaissant de bien vouloir me fournir les informations suivantes :
• La nature des données personnelles qui ont été compromises
• La date et l’heure de la violation de données
• Les mesures que vous avez prises pour remédier à la situation et protéger les données personnelles des utilisateurs
• Les mesures que vous comptez prendre pour éviter que cela ne se reproduise à l’avenir
Je vous serais également reconnaissant de bien vouloir me confirmer que vous avez notifié la violation de données à l’autorité de contrôle compétente, conformément aux dispositions du Règlement général sur la protection des données (RGPD).
Je vous remercie par avance pour votre attention et votre réponse rapide à ma demande.
Veuillez agréer, [Nom de l’entreprise ou de l’organisme], l’expression de mes sentiments distingués.
[Votre nom]
________________________________________
En résumé, les entreprises et les organismes sont responsables de la protection des données personnelles de leurs utilisateurs et doivent se conformer aux règles de protection des données, notamment celles édictées par le RGPD.
En cas de violation de données, ils doivent informer les utilisateurs concernés et prendre des mesures pour remédier à la situation. Les utilisateurs ont également le droit de savoir si leurs données personnelles ont été divulguées à des tiers et de contacter le DPO de l’entreprise ou de l’organisme pour obtenir des informations sur la protection de leurs données personnelles. En France, l’autorité de contrôle compétente en matière de protection des données personnelles est la CNIL.
RGPD : Chapitre 3 – droits de la personne concernée – article 14
