Signaler un traitement non conforme
Une violation de la sécurité des données est un manquement à la sécurité conduisant, de façon accidentelle ou illicite, à la destruction, la perte, l'altération ou la communication non autorisée des données à caractère personnel transmises, stockées ou faisant l'objet d'un autre traitement, ou à un accès non autorisé à celles-ci.
Une violation de la sécurité des données personnelles est donc une sorte d'incident de sécurité, et il y en a trois differents types qui peuvent survenir:
- violation de la confidentialité – une communication accidentelle ou non autorisée de données personnelles ou un tel accès à celles-ci.
- violation de la disponibilité – une perte ou une destruction accidentelle ou non autorisée de données personnelles.
- violation de l'intégrité – une modification accidentelle ou non autorisée de données personnelles.
Une violation peut concerner confidentialité, disponibilité et intégrité au même temps, ou bien une combinaison de ces éléments.
Exemples de violations de la sécurité des données personnelles:
- données personnelles communiquées à une personne non authorisée, comme un courriel avec des données personnelles envoyé à un faux destinataire.
- une personne non authorisée ayant accès à des données personnelles, comme un dossier personnel qui est consulté de façon inappropriée par un autre employé à cause d'une carence de contrôles internes.
- la perte temporaire ou permanente d'accès aux données personnelles, comme l'indisponibilité des données d'un client pendant une certaine periode à cause d'un arrêt du système ou une panne matérielle, logicielle ou d'électricité; ou l'effacement de données personnelles suite à une erreur humaine ou par une personne non authorisée; ou la perte de la clé de déchiffrement pour les données cryptées.
Un traitement non conforme veut dire que des données personnelles ne sont pas traité conformément à la CO 11, le cadre juridique de la protection du données du CERN.
Une violation de la sécurité des données est un cas spécifique d'un traitement non conforme qui impacte la sécurité des données personnelles.
Exemples:
- Un service traite des données sans base légale.
- Les données personnelles sont utilisées pour autres finalités que celles énoncées dans l'avis de confidentialité.
- A la fin de la période de conservation, les données ne sont ni éffacées ni anonymisées.
- Mesures de sécurité insuffisantes pour protéger les données.
- Trop de données personnelles sont exposées - des données qui ne sont pas nécessaires à la finalité du traitement.
- Le service responsable n'a pas donné suite à une demande de la personne concernée dans le délai légal de 90 jours et n'a pas fourni de réponse ou de justification.
Dans quels cas?
Si vous n'êtes pas satisfait de la réponse à votre demande de droit de la personne concernée, ou si vous souhaitez signaler d'autres cas de traitement non conforme, y compris une violation de la sécurité des données, vous pouvez déposer un rapport auprès du Bureau de la protection des données (ODP).
Vous pouvez le faire même si traitement non conforme (potentiel) ou la violation de la sécurité des données ne concerne pas directement vos données personnelles.
Soumettre un rapport
Vous trouverez ci-dessous un lien vers un formulaire vous permettant de soumettre votre rapport.
S'il s'agit de votre demande de droit de la personne concernée, n'oubliez pas d'indiquer le numéro de référence de cette demande.
Traitement de votre rapport
L'ODP évaluera votre rapport, mènera les investigations nécessaires et, le cas échéant, recommandera des mesures correctives à l'attention des services concernés.
Les violations de la sécurité des données feront l'objet d'un traitement spécifique, impliquant l'équipe de sécurité informatique du CERN, suivant la procédure de réponse aux violations de données du CERN.
En cas de traitement non conforme signalé, selon les circonstances, l'ODP transmettra votre rapport aux services concernés afin qu'ils puissent fournir des explications. L'ODP évaluera la conformité du traitement et le cas échéant, recommandera des mesures correctrices aux services.
Si vous craignez d'éventuels inconvénients, l'ODP peut communiquer le cas aux services sans divulguer votre identité, et agir comme intermédiaire entre vous et le service pour des raisons de confidentialité. Cela n'est évidemment pas possible si votre rapport concerne vos propres données personnelles.
Le cadre juridique du CERN ne prescrit pas de délai pour traiter les rapports, mais l'ODP fera de son mieux pour une prise en charge dans le plus brefs délais.
Vous, et le cas échéant les services concernés, serez informés du résultat de l'évaluation par l'ODP.
Et dans le cas où les données personnelles concernées sont les vôtres, l'ODP vous informera également de votre droit de déposer une réclamation formelle.
Avez-vous besoin de conseils concernant la protection des données au CERN ?
⇒ Soumettez votre question en ouvrant un ticket dans le Service Portal du CERN.
Liens utiles
| Link Type | URL |
|---|---|
| Formulaire | Rapport d'incident |