Qui notifier en cas de violation de données?
Le PFPDT publie un guide sur les annonces que les organisations doivent lui faire et l’information à fournir aux personnes concernées en cas de violation des données personnelles.
Une violation de sécurité peut avoir pour effet que des données personnelles de personnes vivantes sont perdues, modifiées ou divulguées. En cas de risque élevé, les organisations doivent annoncer l’incident au Préposé fédéral à la protection des données et à la transparence (PFPDT) et il leur faut parfois également notifier les personnes concernées, en vertu de la Loi sur pa protection des données.
Quels sont les cas où ces annonces sont obligatoires ou facultatives? Comment évaluer la gravité de la violation? Quelles informations les responsables de traitement doivent-ils fournir sur la violation et le risque encouru? A qui les adresser? Pour répondre à toutes ces questions, le PFPDT vient de publier un Guide sur la notification des violations de la sécurité des données disponible en ligne, qui plus est en français.
Pour rappel, en 2024, le PFPDT a également publié un Guide à destination des responsables IT.
