Perte ou vol d’instruments professionnels: s’agit-il toujours d’une violation de données?
GDPR pour les RH
Le principal facteur discriminant d’une violation de données est le fait que l’instrument technologique perdu ou volé soit ou non équipé de systèmes de sécurité empêchant la violation des données personnelles qu’il contient.
Définition de violation de données
L’autorité italienne chargée de la protection des données précise qu’une violation des données à caractère personnel (“Data Breach”) se produit chaque fois qu’il y a une “violation de la sécurité qui entraîne – accidentellement ou illégalement – la destruction, la perte, la modification, la divulgation non autorisée ou l’accès à des données à caractère personnel transmises, stockées ou traitées d’une autre manière” et que toutes les “violations des données à caractère personnel qui peuvent avoir des effets négatifs importants sur les personnes, en causant des dommages physiques, matériels ou immatériels” et, par conséquent, les violations des données à caractère personnel qui sont susceptibles de présenter un risque pour les droits et libertés des personnes doivent être notifiées de manière appropriée.
Ce qui se passe dans l’entreprise:
Se pose alors la question de savoir si la perte et/ou le vol de tout outil professionnel (PC, tablette, téléphone portable, etc.) doit être considéré comme une violation de données devant être notifiée en vertu de l’article 33 du RGPD ou non.
Le facteur discriminant est le fait que l’appareil perdu ou volé ait été équipé ex ante de mesures de sécurité appropriées ou non.
En effet, si le dispositif de l’entreprise est équipé d’une protection par mot de passe et d’un cryptage ou d’autres mesures de sécurité et que, par conséquent, l’accès aux données à caractère personnel a été empêché et que l’analyse interne permet d’affirmer avec une certitude suffisante que même la confidentialité des informations contenues dans le dispositif n’a pas été endommagée de quelque manière que ce soit, il n’est pas nécessaire de notifier l’autorité compétente, car aucune violation de données n’a eu lieu et les données à caractère personnel sont toujours présentes et intactes dans le système de l’entreprise.
En revanche, si l’appareil de l’entreprise n’est pas équipé de systèmes de sécurité, toute perte ou vol de celui-ci, compte tenu du niveau de sécurité insuffisant, entraînerait certainement une violation des données avec l’obligation conséquente de notifier l’autorité compétente conformément à l’article 33 du RGPD.
Évidemment, il est de bonne pratique de prévoir dans une procédure spéciale ou la politique de l’entreprise le comportement qui doit être conservé par l’employé en cas de perte de l’appareil de l’entreprise, ainsi que vous pourriez penser à éviter le problème en amont et, par conséquent, adopter comme une meilleure pratique de sauvegarder tous les documents d’affaires dans un environnement de cloud avec la conséquente inhibition immédiate des documents d’affaires en cas de vol et / ou perte des outils.
Perte ou vol d’instruments professionnels: s’agit-il toujours d’une violation de données?
GDPR pour les RH
Le principal facteur discriminant d’une violation de données est le fait que l’instrument technologique perdu ou volé soit ou non équipé de systèmes de sécurité empêchant la violation des données personnelles qu’il contient.
Définition de violation de données
L’autorité italienne chargée de la protection des données précise qu’une violation des données à caractère personnel (“Data Breach”) se produit chaque fois qu’il y a une “violation de la sécurité qui entraîne – accidentellement ou illégalement – la destruction, la perte, la modification, la divulgation non autorisée ou l’accès à des données à caractère personnel transmises, stockées ou traitées d’une autre manière” et que toutes les “violations des données à caractère personnel qui peuvent avoir des effets négatifs importants sur les personnes, en causant des dommages physiques, matériels ou immatériels” et, par conséquent, les violations des données à caractère personnel qui sont susceptibles de présenter un risque pour les droits et libertés des personnes doivent être notifiées de manière appropriée.
Ce qui se passe dans l’entreprise:
Se pose alors la question de savoir si la perte et/ou le vol de tout outil professionnel (PC, tablette, téléphone portable, etc.) doit être considéré comme une violation de données devant être notifiée en vertu de l’article 33 du RGPD ou non.
Le facteur discriminant est le fait que l’appareil perdu ou volé ait été équipé ex ante de mesures de sécurité appropriées ou non.
En effet, si le dispositif de l’entreprise est équipé d’une protection par mot de passe et d’un cryptage ou d’autres mesures de sécurité et que, par conséquent, l’accès aux données à caractère personnel a été empêché et que l’analyse interne permet d’affirmer avec une certitude suffisante que même la confidentialité des informations contenues dans le dispositif n’a pas été endommagée de quelque manière que ce soit, il n’est pas nécessaire de notifier l’autorité compétente, car aucune violation de données n’a eu lieu et les données à caractère personnel sont toujours présentes et intactes dans le système de l’entreprise.
En revanche, si l’appareil de l’entreprise n’est pas équipé de systèmes de sécurité, toute perte ou vol de celui-ci, compte tenu du niveau de sécurité insuffisant, entraînerait certainement une violation des données avec l’obligation conséquente de notifier l’autorité compétente conformément à l’article 33 du RGPD.
Évidemment, il est de bonne pratique de prévoir dans une procédure spéciale ou la politique de l’entreprise le comportement qui doit être conservé par l’employé en cas de perte de l’appareil de l’entreprise, ainsi que vous pourriez penser à éviter le problème en amont et, par conséquent, adopter comme une meilleure pratique de sauvegarder tous les documents d’affaires dans un environnement de cloud avec la conséquente inhibition immédiate des documents d’affaires en cas de vol et / ou perte des outils.