Rechercher
Connexion S'inscrire
ALF – African Legal Factory services juridiques pour startup en Afrique
  • Accueil
  • Services
    • Déposer sa marque OAPI
    • Déposer sa marque Maroc
    • Déposer sa marque France
    • Créer sa société Côte Ivoire
    • Création société Maroc
    • Création société France
  • Prix
    • Frais fixes
    • Abonnement Startup
    • Abonnement Investisseur
    • Votre Compte Adhérent
  • Ressources
    • Formations
      • Blockchain
      • Données Personnelles
      • Levée de Fonds
      • Propriété Intellectuelle
      • Business
    • Articles
      • Levée de Fonds
      • Fintech
      • Création de Société
      • Données Personnelles
      • Blockchain
      • Marque
      • Pacte d’Actionnaires
  • We Are Alf
    • A propos d’ALF
    • Formateurs
    • Galerie
  • Mon compte
  • Nous Contacter
  • Langues
    • English
    • Français
  •  
  • Accueil
  • Services
    • Déposer sa marque OAPI
    • Déposer sa marque Maroc
    • Déposer sa marque France
    • Créer sa société Côte Ivoire
    • Création société Maroc
    • Création société France
  • Prix
    • Frais fixes
    • Abonnement Startup
    • Abonnement Investisseur
    • Votre Compte Adhérent
  • Ressources
    • Formations
      • Blockchain
      • Données Personnelles
      • Levée de Fonds
      • Propriété Intellectuelle
      • Business
    • Articles
      • Levée de Fonds
      • Fintech
      • Création de Société
      • Données Personnelles
      • Blockchain
      • Marque
      • Pacte d’Actionnaires
  • We Are Alf
    • A propos d’ALF
    • Formateurs
    • Galerie
  • Mon compte
  • Nous Contacter
  • Langues
    • English
    • Français
  •  
ALF - African Legal Factory services juridiques pour startup en Afrique > Articles > Données Personnelles > RGPD – Violations de données, quelles sont les obligations de ma Start-up?

RGPD – Violations de données, quelles sont les obligations de ma Start-up?

  • 2 octobre 2021
  • Publié par : Kelly HAZAN
  • Catégorie : Données Personnelles
Aucun commentaire

STARTUPS, QUELLES SONT VOS OBLIGATIONS LORS D’UNE VIOLATION DE DONNEES PERSONNELLES !

Mettre en place des mesures de sécurité est une obligation imposée par le RGPD. Qu’est-ce qu’une violation de données personnelles ? Comment réagir ? Quelles sont mes obligations en tant que responsable du traitement ? Quelles sont mes obligations lorsque ma startup agit en tant que sous-traitant ?

Cet article a pour objectif de vous donner les réflexes à adopter en cas de violation de données personnelles.

1. Qu’est-ce qu’une violation de données personnelles ?

Une violation de données à caractère personnel correspond à toute action, intentionnelle ou non, portant atteinte à la confidentialité, l’intégrité, ou la disponibilité de données à caractère personnel (Article 33 du RGPD).

Exemples : perte d’un document contenant des données personnelles, introduction malveillante dans une base de données.

Une faille de sécurité est une notion plus large qui correspond à une vulnérabilité au sein d’un système informatique (SI) pouvant mettre en danger son intégrité si cette vulnérabilité est exploitée.

Exemples : injection SQL, hameçonnage / phishing, ransomware, …

Les failles de sécurité n’affectent pas toujours des données à caractère personnel et, n’entrainent donc pas toujours une violation de données personnelles. Il convient donc d’analyser les données concernées par la faille de sécurité.

2. Quelles sont vos obligations en tant que Responsable du traitement ?

La startup agissant en tant que responsable du traitement doit respecter les obligations suivantes :

a. Obligation de notification à l’autorité de contrôle 

La startup a l’obligation de notifier auprès de l’autorité de contrôle compétente les violations dont les données qu’elles traitent font l’objet, lorsqu’il existe un risque pour les personnes concernées.

Quand ? Obligation de notification à l’autorité de contrôle dans les 72 heures après avoir eu connaissance de la violation de données personnelles.

Warning : Startups qui traitent des données personnelles de personnes physiques situées en France : Lien vers le formulaire de la CNIL : https://notifications.cnil.fr/notifications/index. Ce formulaire de notification de la CNIL requiert que soient précisés les motifs du retard. La CNIL exige un nouveau délai de 72 heures entre la notification initiale et la notification complémentaire.

b. Obligation d’informer les personnes concernées

La startup a l’obligation, lorsqu’il existe un risque élevé pour les droits et libertés des personnes concernées, de communiquer la survenance d’une violation de données auprès de ces personnes concernées.

Quand ? Cette communication aux personnes concernées doit être effectuée dans les meilleurs délais.

Contenu de la communication :

  • Description, en des termes clairs et simples, de la nature de la violation de données à caractère personnel ;
  • Nom et coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
  • Description des conséquences probables de la violation de données à caractère personnel ;
  • Description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Il conviendra parfois de faire le tri entre les personnes concernées pour lesquelles une communication s’impose, et celles pour lesquelles, en raison de l’une des exceptions ci-dessous, l’information des personnes concernées n’est pas nécessaire si :

  • Des mesures de protection techniques et organisationnelles appropriées ont été prises (ex : chiffrement ou pseudonymisation) ;
  • Des mesures ultérieures garantissent que le risque élevé n’est plus susceptible de se reproduire ;
  • La communication aux personnes concernées nécessite des efforts disproportionnés (dans ce cas il convient de faire une communication publique).

c. Obligation de tenir un registre des violations de données personnelle 

Le RGPD impose à la startup de documenter toute violation de données afin de permettre à l’autorité de contrôle d’effectuer un contrôle a posteriori de l’ensemble des violations de données personnelles. La startup doit donc tenir un registre des violations de données à caractère personnel.

Quand ? Il convient de tenir ce registre de manière continue, la startup doit y inscrire toutes les violations de données survenues.

Inscris-toi à la formation pour te mettre en conformité avec le RGPD !

INSCRIPTION

3. Quelles sont vos obligations en tant que sous-traitant ?

Lorsque la startup agit en tant que sous-traitant au sens du RGPD, ses obligations liées aux violations de données ne sont pas les mêmes. En pratique, une startup qui héberge des données personnelles pour le compte d’un responsable de traitement ou qui met à disposition une plateforme SaaS, traite des données personnelles uniquement pour le compte de sociétés Responsable de traitement. La starup qui agit donc en tant que Sous-traitant au sens du RGPD (peu importe sa localisation) devra respecter les obligations qui lui incombent en cas de violation de données personnelles de ses entreprises clientes.

La startup qui agit en tant que Sous-traitant au sens du RGPD a l’obligation d’informer le responsable du traitement des données à caractère personnel concernées qu’une violation de données a eu lieu.

Quand ? informer le responsable de traitement ? Le Sous-traitant a l’obligation d’informer le Responsable du traitement dans les meilleurs délais.

Warning : un délai peut être imposé contractuellement par le Responsable du traitement au Sous-traitant. En effet, lorsque le Responsable du traitement et le Sous-traitant conclus un contrat incluant une clause relative à la protection des données personnelles (article 28 du RGPD), ils peuvent prévoir que le Sous-traitant informe le Responsable de traitement dans un certain délai (par exemple : 48 heures).

4. Nos conseils :

Lorsque la startup agit en tant que Responsable de traitement, il est recommandé de :

  • mettre en œuvre une politique de gestion des violations de données à caractère personnel en interne afin notamment de mieux gérer les violations de données et d’être au courant rapidement si une violation de données a lieu.
  • compléter une notification initiale auprès de la CNIL qui aura vocation à être complétée « dans les meilleurs délais » par une notification complémentaire.

Lorsque la startup agit en tant que Sous-traitant, il est recommandé de ne pas réaliser de notification à l’autorité de contrôle ou de communication aux personnes concernées pour le compte du Responsable de traitement. Le RGPD n’impose pas à la startup qui agit en tant que Sous-traitant ces obligations.

5. POURQUOI DEVEZ-VOUS ABSOLUMENT RESPECTER CES OBLIGATIONS DU RGPD ?

La sécurité des données est un enjeu extrêmement important qui a un impact sur les relations avec les clients, partenaires et prestataires de la startup.

L’intérêt de respecter ces obligations du RGPD est d’éviter :

  • Des sanctions financières qui peuvent atteindre un montant de 20 millions d’euros ou représenter 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu, et être rendues publiques ;
  • Une publicité de la sanction liée à un défaut de sécurité ou non-notification/ information d’une violation de données personnelles, qui aura des conséquences négatives sur l’image et la réputation de la startup.

Exemple : en France, le Code pénal prévoit des sanctions pénales allant jusqu’à 5 ans d’emprisonnement et 1,5 million € d’amende pour les personnes morales.

Plus d'articles →

Références :

  • Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;

  • Lignes directrices, recommandations et bonnes pratiques publiées par le Comité Européen de la Protection des Données (CEPD) ;

  • Lignes directrices du Groupe de travail de l’article 29 (G29) approuvées par le CEPD.


    Formulaire : je souhaite me faire accompagner dans le cadre de ma mise en conformité relative à la protection des données personnelles

    En remplissant ce formulaire de contact, African Legal Factory recueille et traite vos données à caractère personnel en tant que responsable de traitement afin de répondre à toutes vos interrogations. Vous disposez sur vos données d’un droit d’accès, de rectification, d’opposition, à l’effacement, à la limitation, à la portabilité et de donner des directives sur le sort de vos données après votre décès. Pour plus d’information relative au traitement de vos données personnelles veuillez consulter notre Politique de Confidentialité. [Politique de confidentialité]

    Laisser un commentaire Annuler la réponse

    Connectez-vous avec vos identifiants sociaux

    RECEVEZ NOS BONS PLANS ET L’ACTUALITÉ TECH & JURIDIQUE AFRICAINE

    Please wait...

    FORMATIONS DU MOMENT

    • formation daphnée
      Pitchdeck & BP : comprendre c...
      Gratuit
      Par Sonia MAVOUNA
    • Initiation : Comprendre les étapes...
      Gratuit
      Par BOLD
    • formation en ligne a la levee de fonds en france
      Formation e-learning pour réussir ...
      90 €
      Par Léa Evrard

    Liens

    • CGUV
    • Formations
    • A propos d’ALF
    • POLITIQUE DE PROTECTION DES DONNEES PERSONNELLES
    • Mentions Legales
    • Accompagnement frais fixes

    Contact

    • +33.06.68.32.83.14
    • formation@africanlegalfactory.com
    © 2023 African Legal Factory, tous droit réservés. powered by Mavouna Avocats
    Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site web. Si vous continuez à utiliser ce site, nous supposerons que vous en êtes satisfait.
    Paramètres des cookiesREFUSERACCEPTER TOUT
    Manage consent

    Aperçu de la confidentialité

    Ce site web utilise des cookies pour améliorer votre expérience lorsque vous naviguez sur le site. Parmi ceux-ci, les cookies qui sont catégorisés comme nécessaires sont stockés sur votre navigateur car ils sont essentiels pour le fonctionnement des fonctionnalités de base du site web. Nous utilisons également des cookies tiers qui nous aident à analyser et à comprendre comment vous utilisez ce site web. Ces cookies ne seront stockés dans votre navigateur qu'avec votre consentement. Vous avez également la possibilité de refuser ces cookies. Mais la désactivation de certains de ces cookies peut affecter votre expérience de navigation.
    Nécessaire
    Toujours activé
    Les cookies nécessaires sont absolument indispensables au bon fonctionnement du site web. Ces cookies assurent les fonctionnalités de base et les caractéristiques de sécurité du site web, de manière anonyme.
    CookieDuréeDescription
    __stripe_mid1 anStripe installe ce cookie pour traiter les paiements.
    __stripe_sid30 minutesStripe installe ce cookie pour traiter les paiements.
    _abck1 anCe cookie est utilisé pour détecter et se défendre lorsqu'un client tente de rejouer un cookie. Ce cookie gère l'interaction avec les robots en ligne et prend les mesures appropriées.
    ak_bmsc2 heuresCe cookie est utilisé par Akamai pour optimiser la sécurité du site en faisant la distinction entre les humains et les robots.
    bm_sz4 heuresCe cookie est défini par le fournisseur Akamai Bot Manager. Ce cookie est utilisé pour gérer l'interaction avec les bots en ligne. Il contribue également à la prévention des fraudes.
    cookielawinfo-checkbox-analytics1 anDéfini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Analytique " .
    cookielawinfo-checkbox-fonctionnel1 anDéfini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Fonctionnel".
    cookielawinfo-checkbox-indispensable1 anLe cookie est défini par le plugin de consentement aux cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Indispensable ".
    cookielawinfo-checkbox-necessary1 anDéfini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Nécessaire " .
    cookielawinfo-checkbox-others1 anDéfini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie " Autres ".
    CookieLawInfoConsent1 anEnregistre l'état du bouton par défaut de la catégorie correspondante et l'état du CCPA. Il ne fonctionne qu'en coordination avec le cookie primaire.
    redux_blast3 joursCe cookie est nécessaire pour le fonctionnement de certains éléments de thèmes WordPress qui font que le site web apparaît de la manière la plus optimale pour l'appareil du visiteur.
    Analytique
    Les cookies analytiques sont utilisés pour comprendre comment les visiteurs interagissent avec le site web. Ces cookies permettent de fournir des informations sur les mesures du nombre de visiteurs, le taux de rebond, la source de trafic, etc.
    CookieDuréeDescription
    _ga2 ansLe cookie _ga, installé par Google Analytics, calcule les données relatives aux visiteurs, aux sessions et aux campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke les informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
    _ga_5BN1MYEN2Y2 ansCe cookie est installé par Google Analytics.
    _gat_gtag_UA_157972103_11 minuteDéfini par Google pour distinguer les utilisateurs.
    _gid1 jourInstallé par Google Analytics, le cookie _gid stocke des informations sur la manière dont les visiteurs utilisent un site Web, tout en créant un rapport analytique des performances du site. Parmi les données collectées figurent le nombre de visiteurs, leur provenance et les pages qu'ils visitent de manière anonyme.
    CONSENT2 ansYouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
    last_pys_landing_page7 joursCookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
    last_pysTrafficSource7 joursCookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
    pys_first_visit7 joursCookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
    pys_landing_page7 joursCookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
    pys_session_limit1 heureCookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
    pys_start_sessionsessionCookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
    Fonctionnel
    Les cookies fonctionnels permettent d'exécuter certaines fonctionnalités comme le partage du contenu du site web sur les plateformes de médias sociaux, la collecte de commentaires et d'autres fonctionnalités tierces.
    CookieDuréeDescription
    _mcid1 anIl s'agit d'un cookie de fonctionnalité Mailchimp utilisé pour évaluer l'interaction UI/UX avec sa plateforme.
    bm_svsessionCe cookie est nécessaire pour la fonction de cache d'Akamai. Un cache est utilisé par le site web pour optimiser le temps de réponse entre le visiteur et le site web. Le cache est généralement stocké sur le navigateur du visiteur. Les résultats de la bande passante de l'utilisateur sont stockés dans ce cookie afin de s'assurer que le test de bande passante n'est pas répété pour le même utilisateur à plusieurs reprises pour la fonction de cache Akamai.
    cookies.jssessionAucune description disponible.
    m2 ansCe cookie est installé par stripe.
    mailchimp_landing_site1 moisCe cookie est placé par MailChimp pour enregistrer la page que l'utilisateur a visitée pour la première fois.
    pysTrafficSource7 joursCookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
    stm_lms_courses_watched2 ans 5 mois 17 joursPas de description
    wmc_current_currency1 jourenregistrer les paramètres de la devise.
    wp_woocommerce_session_b80c8f798ec84ed7476594d4acafc57c2 joursContient un code unique pour chaque client afin de savoir où trouver les données du panier dans la base de données pour chaque client.
    Publicité
    Les cookies publicitaires sont utilisés pour fournir aux visiteurs des annonces et des campagnes de marketing pertinentes. Ces cookies suivent les visiteurs sur les sites web et collectent des informations pour fournir des annonces personnalisées.
    CookieDuréeDescription
    NID6 moisLe cookie NID, défini par Google, est utilisé à des fins publicitaires ; il permet de limiter le nombre de fois où l'utilisateur voit une annonce, de mettre en sourdine les annonces indésirables et de mesurer l'efficacité des annonces.
    Enregistrer & appliquer
    Propulsé par CookieYes Logo