Guide
sur l'annonce des violations de la sécurité des données Gstaad Palace
1. Objectif et base
Le présent guide (guide) contient des dispositions relatives à la gestion des violations de la sécurité des données et à la notification de l'autorité compétente en matière de protection des données et des personnes concernées auprès de Gstaad Palace (ci-après l'entreprise). Le guide fournit aux collaborateurs les bases les plus importantes pour gérer les violations de la sécurité des données et leur permet, avec d'autres mesures et documents, de réagir rapidement aux violations de la sécurité des données en collaboration avec le service de coordination de la protection des données. Les différentes responsabilités sont réglées en détail à l'article 11 de ce guide.
Le guide s'appuie sur les exigences de la loi suisse sur la protection des données (LPD) et du règlement général de l'UE sur la protection des données (RGPD).
En complément de ce guide, le service de coordination de la protection des données doit, le cas échéant, édicter des règles spécifiques à chaque pays et les prendre en compte.
2. Objectif de ce guide
Ce guide explique comment réagir aux violations de la sécurité des données au sein de l'entreprise et vise à garantir que l'annonce nécessaire à l'autorité de protection des données compétente soit faite le plus rapidement possible après la constatation de la violation de la sécurité des données. Cette annonce doit normalement avoir lieu dans les 72 heures suivant la découverte de la violation de la sécurité des données.
3. Champ d'application
Ce guide s'applique à tous les collaborateurs de l'entreprise qui traitent des données personnelles, qui sont potentiellement impliqués dans des activités de traitement de données ou qui constatent des violations de la sécurité des données. Dans le cadre de leur emploi, les employés sont tenus de respecter toutes les lois applicables en matière de protection des données ainsi que le présent guide.
4. Definitions
La législation applicable en matière de protection des données définit certains termes importants. En principe, les termes suivants ont la même signification que ceux définis dans la LPD.
C'est surtout la notion de données personnelles qui est pertinente :
Données personnelles
Definition Les données personnelles sont toutes les informations qui se rapportent à une personne physique identifiée ou identifiable (par exemple, le nom, l'adresse, les données de localisation, le cas échéant, les identifiants en ligne tels que l'ID de l'appareil, l'ID du cookie, l'adresse IP, les tags RFID, etc.)
Niveau de sensibilité
Données personelles sensibles
Données personnelles des catégories suivantes : Données relatives aux opinions ou activités religieuses, philosophiques, politiques ou syndicales ; données relatives à la santé, à l'intimité ou à l'appartenance à une race ou une ethnie ; données génétiques ; données biométriques identifiant une personne physique de manière unique ; données relatives à des poursuites ou sanctions administratives ou pénales ; données relatives à des mesures d'aide sociale.
Le terme « personnes » désigne les personnes physiques et non les personnes morales. Les coordonnées de la personne de contact d'un prestataire ou d'une autre entreprise dans les relations B2B sont également considérées comme des données personnelles.
Il y a violation de la sécurité des données lorsque des données personnelles sont accidentellement ou illégalement perdues, effacées, détruites ou modifiées, ou divulguées ou rendues accessibles à des personnes non autorisées. En d'autres termes, il y a "incident de sécurité" dès que la confidentialité, l'intégrité ou la disponibilité des données personnelles est compromise de manière temporaire ou permanente.
5. Violations de la sécurité des données et leurs conséquences
Comme le montre la définition susmentionnée, la violation de la sécurité des données entraîne la destruction, la perte, l'altération, la divulgation, l'accès ou le partage non autorisés de données personnelles, que ce soit de manière accidentelle ou illicite. Cela inclut non seulement les violations intentionnelles, mais aussi celles causées accidentellement ou inconsciemment. En outre, il n'y a pas seulement violation de la sécurité des données en cas de perte de données personnelles, mais aussi, par exemple, en cas de modification ou de consultation non autorisée de données personnelles.
Des exemples de violations de la sécurité des données sont :
- Accès aux données personnelles par un tiers non autorisé (par exemple, piratage) ;
- Envoi de données personnelles à un mauvais destinataire (par exemple, envoi par e-mail) ;
- Perte ou vol d'appareils de traitement des données contenant des données personnelles (par exemple, perte d'un téléphone portable professionnel ou d'un ordinateur portable) ;
- Modification/traitement de données personnelles sans autorisation ; et
- Perte de disponibilité des données personnelles (par exemple, service de cloud indisponible).
6. Obligations en cas de découverte d'une violation de la sécurité des données
Chaque employé a les obligations suivantes s'il constate ou soupçonne une violation de la sécurité des données :
- Documenter immédiatement la violation de la sécurité des données (heure et date) et, le cas échéant, d'autres preuves (par ex. e-mails, captures d'écran, etc.) ;
- Informer immédiatement le service de coordination de la protection des données ;
- Informer immédiatement le service informatique afin de garantir la documentation immédiate de la violation de la sécurité des données par des moyens appropriés, par ex :
o description de la violation ;
o Prise de captures d'écran ;
o collecte de journaux ou de fichiers journaux ;
o stockage de la correspondance par courrier électronique, etc ;
- Prendre des mesures pour réduire les risques en collaboration avec l'unité de coordination de la protection des données.
Il peut s'avérer nécessaire de mener des enquêtes supplémentaires afin de déterminer plus précisément la cause de la violation de la sécurité des données. Cette enquête est dirigée par l'unité de coordination pour la protection des données et documentée au moyen du questionnaire figurant à l'annexe 1. Le cas échéant, l'enquête doit être confiée à des prestataires de services externes.
7. Calendrier et obligation d'annoncer une violation de la sécurité des données
7.1 Timing
Une annonce de violation de la sécurité des données doit être transmise à l'autorité de contrôle de la protection des données compétente le plus rapidement possible et, en principe, au plus tard dans les 72 heures suivant sa découverte.
Il y a connaissance d'une violation de la sécurité des données lorsqu'il est établi avec un degré de certitude raisonnable qu'une violation de la sécurité des données s'est produite et qu'elle a entraîné une mise en danger des données personnelles.
Exemples :
1. En cas de perte d'une clé USB contenant des données personnelles non cryptées, il est souvent impossible de déterminer si des personnes non autorisées ont eu accès à ces données. Cependant, même si l'entreprise ne peut pas déterminer s'il y a eu une violation de la confidentialité, il existe un degré raisonnable de certitude qu'il y a eu une violation de la disponibilité. L'entreprise aurait « pris connaissance » si elle avait constaté que la clé USB avait été perdue.
2. Un tiers informe une entreprise qu'il a reçu par erreur des données personnelles d'un client de la part de l'entreprise et fournit des preuves de la divulgation non autorisée. Comme l'entreprise a reçu des preuves évidentes de violation de la confidentialité, elle en a « pris connaissance »
3. Une entreprise découvre qu'il y a peut-être eu une intrusion dans son réseau. L'entreprise examine ses systèmes pour déterminer si les données personnelles qui s'y trouvent ont été compromises et confirme que c'est le cas. Comme l'entreprise dispose maintenant de preuves évidentes d'une atteinte à l'intégrité, elle a « pris connaissance »
4. Un cybercriminel contacte l'entreprise après avoir piraté son système pour demander une rançon. Dans ce cas, après avoir vérifié son système pour confirmer qu'il a été attaqué, l'entreprise a des preuves évidentes qu'une violation de la sécurité des données a eu lieu et en a « pris connaissance »
Les entreprises sont tenues de prendre toutes les mesures techniques et organisationnelles appropriées pour déterminer immédiatement si une violation de la sécurité des données a eu lieu.
L'entreprise est ainsi tenue de veiller à ce qu'elle "prenne connaissance" en temps utile des violations.
Annonce par étapes
En fonction de la nature de la violation de la sécurité des données, l'entreprise peut avoir besoin d'une enquête supplémentaire pour établir tous les faits pertinents liés à l'incident. Toutes les informations nécessaires ne sont pas toujours disponibles dans les 72 heures suivant la prise de connaissance d'une violation de la sécurité des données. Une annonce par étapes est donc autorisée. Ce sera principalement le cas pour les violations de sécurité des données de grande ampleur, comme les incidents de cybersécurité, qui nécessitent une enquête technique approfondie afin de déterminer pleinement l'étendue du risque pour les données personnelles. L'entreprise doit informer l'autorité de protection des données de l’annonce par étapes et la justifier.
Annonce retardées
Si l'annonce à l'autorité de contrôle n'est pas faite dans les 72 heures, elle doit être accompagnée d'une justification du retard. Cette disposition, ainsi que le concept d'annonce par étapes, reconnaît qu'une entreprise n'est pas toujours en mesure d'annoncer une violation de la sécurité des données dans ce délai et qu'une annonce retardée peut être autorisée.
Cela pourrait être le cas, par exemple, lorsqu'une entreprise subit plusieurs violations similaires de la sécurité des données dans un court laps de temps, qui affectent de la même manière un grand nombre de personnes concernées.
En principe, chaque violation de la sécurité des données est un incident qui doit être annoncé. Toutefois, les autorités européennes de protection des données reconnaissent que les entreprises peuvent soumettre une notification "groupée" afin d'éviter une surcharge de travail. La condition est que ces violations de la sécurité des données concernant le type de données personnelles et les modalités de la violation se soient produites dans un laps de temps relativement court. Si une série de violations de la sécurité des données se produit, impliquant différents types de données personnelles qui ont été violées de différentes manières, chaque incident doit être annoncé séparément.
7.2 Annonce à l'autorité de protection des données
RGPD
Le RGPD exige que toute violation de la sécurité des données soit annoncée aux autorités de protection des données, sauf s'il peut être exclu qu'elle n'ait pas d'impact négatif sur les personnes concernées. Une évaluation spécifique des risques n'est donc pas nécessaire.
LPD
Contrairement au RGPD, la LPD exige, pour l'annonce à l'autorité de protection des données, que la violation de la sécurité des données entraîne vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. L'annexe 4 contient des exemples de ce qui constitue un "risque élevé". Ils servent à illustrer quand une annonce doit être faite aux
autorités de protection des données conformément à la LPD. En outre, les explications suivantes aident à évaluer les risques.
Évaluation du risque de violation de la sécurité des données
Le risque est évalué en fonction de la probabilité d'occurrence et de la gravité d'un événement donné. L'entreprise doit procéder à une évaluation objective des risques. Il est utile d'utiliser une matrice structurée pour déterminer la probabilité et la gravité des risques. Si une violation de la sécurité des données s'est produite, la probabilité et la gravité du risque qui en résulte pour la personnalité ou les droits fondamentaux de la personne concernée doivent être analysées et documentées en utilisant la matrice d'identification des risques ci-dessous : Gravité des dommages
Lointain Possible Probable
Probabilité
Chaque violation doit être évaluée au cas par cas, en tenant compte de tous les facteurs pertinents. Si l'évaluation aboutit à la décision qu'une violation de la sécurité des données doit être annoncée à l'autorité de protection des données compétente, la décision finale d'annonce doit être prise par la direction.
7.3 Meldung an die betroffenen Personen
RGPD
Le RGPD exige qu'une violation de la sécurité des données soit communiquée aux personnes concernées si cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. L'annexe 4 donne des indications sur le moment où une communication doit être effectuée auprès des personnes concernées.
En ce qui concerne l'évaluation des risques, la matrice précédente est également utile. Une violation de la sécurité des données peut avoir un certain nombre de conséquences négatives pour les personnes concernées, notamment des souffrances psychologiques et des dommages physiques ou matériels. Les atteintes à la sécurité des données peuvent avoir un impact considérable sur les personnes dont les données personnelles ont été compromises. Chaque violation doit donc être évaluée au cas par cas, en tenant compte de tous les facteurs pertinents. Si l'évaluation aboutit à la décision qu'une violation de la sécurité des données doit être communiquée aux personnes concernées, la décision finale de communication doit être prise par la direction.
LPD
La LPD exige que les personnes concernées soient informées d'une violation de la sécurité des données si, cumulativement, la violation de la sécurité des données est susceptible d'engendrer un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées et si cela est nécessaire pour leur protection ou si le PFPDT l'exige. En ce qui concerne la première condition, on peut se référer aux explications relatives à l'annonce à l'autorité de protection des données conformément à la LPD. La deuxième condition est remplie si l'information des personnes concernées permet d'éliminer ou de réduire le risque. (L'annexe 4 contient des exemples de cas dans lesquels les personnes concernées doivent être informées).
L'information des personnes concernées est donc particulièrement nécessaire lorsque le risque immédiat de dommage à leur encontre doit être limité. L'une des principales raisons d'informer les personnes concernées est de les aider à prendre des mesures pour se protéger contre les conséquences d'une violation de la sécurité des données, par exemple en changeant leurs codes d'accès ou leurs mots de passe.
Si l'évaluation aboutit à la décision que les personnes concernées doivent être informées d'une violation de la sécurité des données, la décision finale d’effectuer cette information doit être prise par la direction.
8. Procédure d'annonce interne d'une violation de la sécurité des données
Une violation de la sécurité des données peut être constatée par tous les employés de l'entreprise. Dans un premier temps, les collaborateurs qui découvrent l'incident doivent immédiatement contacter le service de coordination de la protection des données et documenter la violation découverte (au moins avec l'heure et la date, y compris d'autres informations pour la conservation des preuves). Le service de coordination de la protection des données prend ensuite en charge le cas et apporte son soutien et ses conseils aux collaborateurs.
Le service de coordination de la protection des données informe immédiatement la direction, documente la violation de la protection des données (cf. annexe 1) et examine la nécessité d'une annonce de la violation de la sécurité des données à l'autorité de surveillance de la protection des données compétente. Si elle estime qu'une annonce de la violation de la sécurité des données est nécessaire, l'unité de coordination de la protection des données rassemble les informations afin de permettre à la direction de décider si la violation doit être annoncée. Une fois que la direction a
pris sa décision, l'unité de coordination de la protection des données prépare et soumet l'annonce (voir annexe 2 et/ou annexe 3).
En général, la procédure en cas de violation de la sécurité des données comprend les étapes suivantes :
Étape Contenu
1 L'entreprise découvre ou est alertée d'un incident de sécurité et détermine si des données personnelles sont concernées. L'entreprise « prend connaissance » d'une violation de la protection des données personnelles et évalue le risque pour les personnes concernées.
2 Documentation de la violation de la sécurité des données (heure et date) et conservation des preuves
Qui?
Quand?
Collaborateurs A tout moment
3 Information du service de coordination de la protection des données
Collaborateurs
Collaborateurs
4 Examen de la documentation du/des employé(s) et décision sur la mise en œuvre de mesures. Évaluation du risque de la violation de la sécurité des données pour les personnes concernées
5 Déterminer si une annonce de violation de la sécurité des données est nécessaire. Attention à la différence entre les seuils de notification de la LPD et du RGPD. Documenter la violation et obtenir l'approbation de la direction.
Service de coordination de la protection des données
Immédiatement après la découverte de la violation
Immédiatement après la découverte de la violation
Immédiatement après
Service de coordination de la protection des données
Direction générale
Immédiatement après
6 Préparer et transmettre l'annonce de violation de la sécurité des données à l'autorité de protection des données.
7 Si nécessaire, préparer et transmettre l'annonce de la violation de la sécurité des données aux personnes concernées.
8 Documentation de l'incident et de l'annonce
9 Examen de l'incident et demande à la direction de prendre des mesures pour éviter que des incidents similaires ne se reproduisent.
Service de coordination de la protection des données Au plus tard 72 heures après la découverte de la violation de la protection des données
Service de coordination de la protection des données Immédiatement après l'annonce à l'autorité de contrôle
Service de coordination de la protection des données
Immédiatement après
Service de coordination de la protection des données Après la clôture de l'incident
Les collaborateurs doivent informer le service de coordination de la protection des données dès qu'ils constatent ou soupçonnent une violation de la sécurité des données. Il est important de documenter la date et l'heure de la découverte de la violation afin de s'assurer que l'annonce à l'autorité de contrôle compétente en matière de protection des données puisse être faite le plus rapidement possible, en principe dans les 72 heures au plus tard. Le service de coordination de la protection des données informe la direction de l'entreprise afin de déterminer si une violation doit être annoncée. En outre, les mesures appropriées sont prises par le service de coordination de la protection des données en collaboration avec d'autres départements.
9. Forme de l'annonce d'une violation de la sécurité des données
Si l'analyse montre qu'une violation de la sécurité des données doit être annoncée à l'autorité de contrôle de la protection des données compétente (voir 7.27.3) et que la direction, en accord avec le service de coordination de la protection des données, a décidé d'annoncer la violation de la sécurité des données, le formulaire type de l'annexe 2 doit être utilisé. Le formulaire complété est envoyé à l'autorité de contrôle de la protection des données compétente et une copie doit être archivée.
Si l'analyse d'une violation de la sécurité des données révèle que les personnes concernées doivent être annoncées (voir 7.3) et que la direction a décidé, en concertation avec le coordinateur de
la protection des données, d'informer les personnes concernées, le formulaire type de l'annexe 3 doit être utilisé. Le formulaire rempli peut être envoyé à chaque personne concernée et une copie doit être archivée.
10. Informations supplémentaires utiles
Des exemples utiles sont fournis à l'annexe 4 de ce guide.
11. Responsabilités
11.1 Direction générale
La direction définit le cadre général de l'annonce des violations de la sécurité des données à l'autorité de contrôle de la protection des données compétente et décide en dernier ressort de l'opportunité d'une annonce. Elle désigne un responsable de la protection des données – le service de coordination de la protection des données – qui agit en tant qu'instance de gestion, de conseil et de contrôle pour les annonces de violations de la sécurité des données.
11.2 Chefs de service
Les chefs de service de tous les niveaux sont responsables, dans leurs domaines de responsabilité, de l'application et du respect des dispositions légales relatives à la protection des données. Ils veillent, en collaboration avec le service de coordination de la protection des données, à former et à sensibiliser leurs collaborateurs. Ils jouent un rôle de modèle et encouragent les collaborateurs à respecter les mesures de protection des données.
11.3 Collaborateurs
Chaque collaborateur doit veiller à informer immédiatement le service de coordination de la protection des données de toute violation de la sécurité des données, à documenter la violation détectée et à conserver les preuves. Les collaborateurs doivent suivre les instructions du service de coordination de la protection des données. En outre, les collaborateurs sont tenus de participer régulièrement à des formations sur le thème de la sécurité des données.
11.4 Service de coordination de la protection des données
L'entreprise a désigné un service de coordination de la protection des données. Le service de coordination de la protection des données est le point de contact central pour les questions relatives à la protection et à la sécurité des données, ainsi que le service responsable pour annoncer, au cas par cas et sur la base d'une décision de la direction, une violation de la sécurité des données à l'autorité de surveillance de la protection des données compétente. Il peut être contacté par fbm@palace.ch ou par téléphone 861
Le service de coordination de la protection des données est chargé de documenter les annonces de violation de la sécurité des données afin de respecter les critères de responsabilisation. Il veille à ce que la documentation relative aux annonces soit conservée pendant au moins deux ans. En
outre, le service de coordination de la protection des données est responsable de l'examen des violations de la sécurité des données en collaboration avec d'autres services après l'incident et, le cas échéant, de la proposition à la direction de mesures nécessaires pour prévenir des incidents similaires.
12. Sanctions
Le non-respect de ce guide peut entraîner des mesures disciplinaires et/ou des procédures civiles et/ou pénales.
13. Dispositions finales
13.1 Modifications et ajouts
Ce guide ne peut être modifié, complété ou abrogé que par écrit et par décision de la direction. Par modification ou ajout, on entend l'ajout, la suppression ou la modification de toute disposition. Les corrections de nature formelle ne sont pas concernées.
13.2 Documents complémentaires
Ce guide sert de base pour garantir que les notifications de violation de la sécurité des données sont effectuées lorsque cela est nécessaire. Sur cette base, d'autres documents peuvent être développés en relation avec le traitement des données personnelles, notamment des guides spécifiques aux utilisateurs ou aux services.
13.3 Annexes incluses
Les annexes suivantes font partie intégrante de ce guide :
Annexe 1 : Questionnaire pour documenter les violations de la sécurité des données
Annexe 2 : Formulaire de notification (autorité de contrôle de la protection des données)
Annexe 3 : Formulaire de notification (personnes concernées)
Annexe 4 : Exemples utiles
En cas de contradiction, le présent guide prévaut.
13.4 Divers
Ce guide est accessible à tous les collaborateurs par le biais du système de directives existant de l'entreprise ou par d'autres canaux selon la décision du service de coordination de la protection des données.
Les modifications ou compléments apportés à ce guide entrent en vigueur au moment de leur publication sur https://issuu.com/gstaadpalace/docs/violation_de_la_s_curit_des_donn_es_fr_8.1.2025.?fr=xKAE9_-Dt8g
13.5 Date d'entrée en vigueur
Le présent guide entre en vigueur Lunedì 13 gennaio 2025
Annexe 1 Questionnaire de documentation des violations de la sécurité des données
Cette annexe doit être remplie par le service de coordination de la protection des données. L'annexe remplie doit être conservée afin de satisfaire à l'obligation de rendre compte en matière de protection des données. Toute violation de la sécurité des données, à l'exception des incidents mineurs, doit être documentée, quel que soit le niveau de risque pour les personnes concernées. L'évaluation des risques doit être effectuée à l'aide de ce questionnaire et de la matrice d'identification des risques (voir article 7.2 du guide). Enfin, cette évaluation peut être transférée dans un outil spécifique de documentation des cyberincidents (p. ex. OneTrust ou ZOA-GDPR) afin de documenter la violation de la sécurité des données et la décision prise dans le cas particulier. Cette documentation doit toutefois être effectuée indépendamment de l'utilisation d'un tel outil.
Description de la violation de la sécurité des données (que s'est-il passé ? Comment la violation de la sécurité des données s'estelle produite et dans quelles circonstances ? etc.)
la date et l'heure de la violation de la sécurité des données
Quelles sont les données personnelles concernées ?
Des données personnelles sensibles sontelles concernées (p. ex. données relatives à la santé, etc.) ?
Description des conséquences probables de la violation de la sécurité des données
Nombre d'enregistrements concernés
Nombre de personnes concernées
Description des mesures prises
1. Responsabilités:
Fonction
Responsable auprès de l'unité de coordination de la protection des données
Délégué à la protection des données (le cas échéant)
Personne responsable de l'annonce
Nom et unité
Veuillez noter que le service de coordination de la protection des données doit être impliqué dans l'annonce des violations de la sécurité des données à l'autorité de protection des données compétente. La décision d'annoncer une violation de la sécurité des données à l'autorité de protection des données compétente doit être prise par la direction.
2. Annonce pour le cas où l'entreprise est un sous-traitant
Si l'entreprise est un sous-traitant et qu'une violation de la sécurité des données a été constatée, les informations susmentionnées doivent être transmises sans délai au responsable du traitement. Toutefois, les paragraphes 1 et 3 ne doivent pas être complétés ou transmis au responsable du traitement.
Notification transmise au responsable du traitement le/par :
3. Schéma de validation
La violation de la sécurité des données entraîne-t-elle un risque pour les personnes concernées et doit-elle donc être signalée à l'autorité de contrôle de la protection des données ?
Oui Non
Une annonce à l'autorité de contrôle n'est pas nécessaire si la violation de la protection des données n'est pas susceptible d'entraîner un risque élevé pour la personne concernée.
Justification et décision :
Les personnes concernées doivent-elles être informées ?
Oui Non Les personnes concernées doivent toujours être informées si cela est nécessaire pour leur protection ou si l'autorité de contrôle de la protection des données compétente l'exige. L'information des personnes concernées n'est pas (plus) nécessaire s'il existe des mesures techniques et organisationnelles appropriées qui rendent pratiquement impossible tout accès non autorisé aux données personnelles concernées (par exemple, cryptage). Il est également possible de renoncer à une information si des mesures efficaces ont été prises pour limiter les dommages. En règle générale, l'information des personnes concernées devrait avoir lieu si l'information permet aux personnes concernées de minimiser efficacement le dommage par leurs propres mesures (p. ex. en bloquant la carte de crédit, en modifiant un mot de passe, etc.)
Justification et décision :
Information nécessaire ?
Date et heure de l'information L'annonce doit être faite dès que possible et, en principe, au plus tard dans les 72 heures suivant la constatation de la violation de la sécurité des données.
Si ce délai ne peut pas être respecté, veuillez joindre une justification détaillée.
Signature de la personne responsable du service de coordination de la protection des données
Approbation de la direction
Annexe 2 Formulaire d'annonce (autorité de contrôle de la protection des données)
Pour une annonce de violation de la sécurité des données au PFPDT, il convient d'utiliser le service en lighne d'annonce du PFPDT. Celle-ci peut être consultée à l'adresse suivante : https://databreach.edoeb.admin.ch/report
Pour une annonce à d'autres autorités de protection des données, le formulaire suivant peut être utilisé, dans la mesure où les autorités de protection des données concernées ne prescrivent pas obligatoirement d'autres formulaires.
1. Adresse de l'autorité de contrôle pour la protection des données
2. Nom et coordonnées du responsable du traitement
3. Nom et coordonnées de la personne responsable du service de coordination de la protection des données
4. Description de la violation de la sécurité des données
5. Date, heure et durée de la violation de la sécurité des données (et, le cas échéant, justification de la notification après l'expiration du délai de 72 heures).
6. Quelles sont les données personnelles concernées ?
par exemple, coordonnées, informations sur la carte de crédit, etc.
7. Description des conséquences et des risques potentiels de la violation de la sécurité des données pour les personnes concernées
8. Catégories de données personnelles et nombre d'enregistrements concernés
9. Catégories et nombre de personnes concernées
10. Description des mesures prises pour atténuer les conséquences et les risques
Annexe 3 Formulaire d’information (personnes concernées)
1. Adresse de la personne concernée
2. Nom et coordonnées de la personne responsable de l'unité de coordination de la protection des données
3. Description de la violation de la sécurité des données et des données personnelles concernées
4. Description des conséquences et des risques potentiels de la violation de la sécurité des données pour les personnes concernées
5. Description des mesures prises pour atténuer les conséquences et les risques
6. Mesures que la personne concernée peut adopter
Annexe 4 Exemples utiles
La sélection d'exemples suivante permet de déterminer si une notification à l'autorité de contrôle et/ou une information de la personne concernée est nécessaire dans différents scénarios :
Exemple
EUne entreprise a stocké la copie de sauvegarde d'une archive contenant des données personnelles sous forme cryptée sur une clé USB. Lors d'un cambriolage, la clé USB est dérobée.
Notification à l'autorité de contrôle compétente ?
Non
Une entreprise opère un service en ligne. Le service est victime d'une cyber-attaque et des données personnelles sont dérobées.
Le centre d'appels d'une entreprise subit une brève coupure de
Oui, l'incident doit être annoncé à l'autorité de contrôle si des conséquences sont attendues pour les personnes concernées.
Information de la personne concernée ?
Non.
Remarques
Non.
Tant que les données sont cryptées par un algorithme conforme à l'état des connaissances, qu'il existe des sauvegardes, que la clé unique n'a pas été compromise et que les données peuvent être restaurées rapidement, il ne s'agit probablement pas d'une violation de la protection des données à annoncer. En revanche, si une violation se produit ultérieurement, l'annonce est nécessaire.
Oui, les personnes concernées doivent être informées, en fonction du type de données personnelles affectées et si des conséquences graves pour les personnes concernées sont à prévoir. -
Non. Il ne s'agit pas d'une violation de la protection des
courant de plusieurs minutes, empêchant les clients de joindre l'entreprise et d'accéder à leurs dossiers.
Une entreprise est victime d'une attaque de ransomware qui crypte toutes les données. Aucune copie de sauvegarde n'est disponible et les données ne peuvent pas être récupérées. Après enquête, il s'avère que le ransomware a servi exclusivement au chiffrement des données et qu'aucun autre logiciel malveillant n'était présent dans le système.
Oui, l'incident doit être annoncé à l'autorité de contrôle compétente si des conséquences sont attendues pour les personnes concernées, car il s'agit d'une perte de disponibilité des données.
Oui, les personnes concernées doivent être informées, en fonction du type de données personnelles affectées, des conséquences possibles de l'indisponibilité des données et d'autres conséquences probables.
données à déclarer, mais l'incident doit néanmoins être documenté.
Si une sauvegarde des données avait été disponible et si les données avaient pu être restaurées en temps utile, l'annonce à l'autorité de contrôle et l'information des personnes concernées n'auraient pas été nécessaires, car il n'y aurait pas eu de perte permanente de la disponibilité ou de la confidentialité des données.
Une entreprise exploite une place de marché en ligne avec des clients dans plusieurs pays. Après une cyber-attaque sur la place de marché, le pirate publie sur Internet les noms d'utilisateur, les mots de passe et l'historique des achats.
Une société d'hébergement Web agissant en tant que sous-traitant constate que le code de contrôle d'autorisation des utilisateurs contient une erreur. En raison de cette erreur, chaque utilisateur peut voir les informations de compte de
Oui, les incidents impliquant un traitement transfrontalier doivent être annoncés à l'autorité ou aux autorités de contrôle compétentes.
Oui, car l'incident pourrait entraîner un risque élevé et l'information est nécessaire pour protéger les personnes concernées.
L'entreprise doit prendre des mesures - par exemple en forçant la réinitialisation des mots de passe des comptes concernés - et prendre d'autres mesures pour limiter le risque.
En tant que soustraitant, l'hébergeur doit immédiatement informer ses clients concernés (les responsables du traitement).
En supposant que l'hébergeur a mené
S'il est peu probable que les personnes concernées courent un risque élevé et qu'il n'y a pas de besoin de protection, elles ne doivent pas être averties.
L'hébergeur (le sous-traitant) doit également tenir compte de toute autre obligation de notification.
Si rien n'indique que la vulnérabilité a été exploitée chez
tous les autres utilisateurs.
Un e-mail de publipostage est envoyé aux destinataires dans les champs "À..." ou "Cc...", de sorte que les adresses e-mail des destinataires soient visibles pour tous les destinataires.
sa propre enquête, les responsables concernés doivent avoir une certitude raisonnable quant à l'existence d'une violation de la protection des données dans leur cas particulier, de sorte qu'il est probable qu'ils aient "pris connaissance" de la violation de la protection des données lorsque l'hébergeur (le sous-traitant) les a informés. Dans ce cas, le responsable du traitement doit notifier la violation de données à l'autorité de contrôle.
Oui, la notification à l'autorité de contrôle peut être obligatoire si un grand nombre de personnes sont concernées, si des données sensibles sont divulguées (par exemple, la liste de diffusion d'un psychothérapeute) ou si d'autres facteurs présentent un risque élevé (par exemple, si l'e-mail contient les mots de passe d'origine).
Oui, les personnes concernées doivent être informées, en fonction de l'étendue et de la nature des données personnelles concernées et de la gravité des conséquences possibles.
l'un des responsables du traitement, il se peut qu'il n'y ait pas eu de violation de la protection des données à annoncer.
La notification peut ne pas être nécessaire si aucune donnée sensible n'est divulguée et si seul un petit nombre d'adresses électroniques est visible.