Guide
sur l'annonce des violations de la sécurité des données Gstaad Palace
1. Objectif et base
Le présent guide (guide) contient des dispositions relatives à la gestion des violations de la sécurité des données et à la notification de l'autorité compétente en matiÚre de protection des données et des personnes concernées auprÚs de Gstaad Palace (ci-aprÚs l'entreprise). Le guide fournit aux collaborateurs les bases les plus importantes pour gérer les violations de la sécurité des données et leur permet, avec d'autres mesures et documents, de réagir rapidement aux violations de la sécurité des données en collaboration avec le service de coordination de la protection des données. Les différentes responsabilités sont réglées en détail à l'article 11 de ce guide.
Le guide s'appuie sur les exigences de la loi suisse sur la protection des données (LPD) et du rÚglement général de l'UE sur la protection des données (RGPD).
En complément de ce guide, le service de coordination de la protection des données doit, le cas échéant, édicter des rÚgles spécifiques à chaque pays et les prendre en compte.
2. Objectif de ce guide
Ce guide explique comment réagir aux violations de la sécurité des données au sein de l'entreprise et vise à garantir que l'annonce nécessaire à l'autorité de protection des données compétente soit faite le plus rapidement possible aprÚs la constatation de la violation de la sécurité des données. Cette annonce doit normalement avoir lieu dans les 72 heures suivant la découverte de la violation de la sécurité des données.
3. Champ d'application
Ce guide s'applique à tous les collaborateurs de l'entreprise qui traitent des données personnelles, qui sont potentiellement impliqués dans des activités de traitement de données ou qui constatent des violations de la sécurité des données. Dans le cadre de leur emploi, les employés sont tenus de respecter toutes les lois applicables en matiÚre de protection des données ainsi que le présent guide.
4. Definitions
La lĂ©gislation applicable en matiĂšre de protection des donnĂ©es dĂ©finit certains termes importants. En principe, les termes suivants ont la mĂȘme signification que ceux dĂ©finis dans la LPD.
C'est surtout la notion de données personnelles qui est pertinente :
Données personnelles
Definition Les données personnelles sont toutes les informations qui se rapportent à une personne physique identifiée ou identifiable (par exemple, le nom, l'adresse, les données de localisation, le cas échéant, les identifiants en ligne tels que l'ID de l'appareil, l'ID du cookie, l'adresse IP, les tags RFID, etc.)
Niveau de sensibilité
Données personelles sensibles
Données personnelles des catégories suivantes : Données relatives aux opinions ou activités religieuses, philosophiques, politiques ou syndicales ; données relatives à la santé, à l'intimité ou à l'appartenance à une race ou une ethnie ; données génétiques ; données biométriques identifiant une personne physique de maniÚre unique ; données relatives à des poursuites ou sanctions administratives ou pénales ; données relatives à des mesures d'aide sociale.
Le terme « personnes » désigne les personnes physiques et non les personnes morales. Les coordonnées de la personne de contact d'un prestataire ou d'une autre entreprise dans les relations B2B sont également considérées comme des données personnelles.
Il y a violation de la sécurité des données lorsque des données personnelles sont accidentellement ou illégalement perdues, effacées, détruites ou modifiées, ou divulguées ou rendues accessibles à des personnes non autorisées. En d'autres termes, il y a "incident de sécurité" dÚs que la confidentialité, l'intégrité ou la disponibilité des données personnelles est compromise de maniÚre temporaire ou permanente.
5. Violations de la sécurité des données et leurs conséquences
Comme le montre la définition susmentionnée, la violation de la sécurité des données entraßne la destruction, la perte, l'altération, la divulgation, l'accÚs ou le partage non autorisés de données personnelles, que ce soit de maniÚre accidentelle ou illicite. Cela inclut non seulement les violations intentionnelles, mais aussi celles causées accidentellement ou inconsciemment. En outre, il n'y a pas seulement violation de la sécurité des données en cas de perte de données personnelles, mais aussi, par exemple, en cas de modification ou de consultation non autorisée de données personnelles.
Des exemples de violations de la sécurité des données sont :
- AccÚs aux données personnelles par un tiers non autorisé (par exemple, piratage) ;
- Envoi de données personnelles à un mauvais destinataire (par exemple, envoi par e-mail) ;
- Perte ou vol d'appareils de traitement des données contenant des données personnelles (par exemple, perte d'un téléphone portable professionnel ou d'un ordinateur portable) ;
- Modification/traitement de données personnelles sans autorisation ; et
- Perte de disponibilité des données personnelles (par exemple, service de cloud indisponible).
6. Obligations en cas de découverte d'une violation de la sécurité des données
Chaque employé a les obligations suivantes s'il constate ou soupçonne une violation de la sécurité des données :
- Documenter immédiatement la violation de la sécurité des données (heure et date) et, le cas échéant, d'autres preuves (par ex. e-mails, captures d'écran, etc.) ;
- Informer immédiatement le service de coordination de la protection des données ;
- Informer immédiatement le service informatique afin de garantir la documentation immédiate de la violation de la sécurité des données par des moyens appropriés, par ex :
o description de la violation ;
o Prise de captures d'Ă©cran ;
o collecte de journaux ou de fichiers journaux ;
o stockage de la correspondance par courrier Ă©lectronique, etc ;
- Prendre des mesures pour réduire les risques en collaboration avec l'unité de coordination de la protection des données.
Il peut s'avĂ©rer nĂ©cessaire de mener des enquĂȘtes supplĂ©mentaires afin de dĂ©terminer plus prĂ©cisĂ©ment la cause de la violation de la sĂ©curitĂ© des donnĂ©es. Cette enquĂȘte est dirigĂ©e par l'unitĂ© de coordination pour la protection des donnĂ©es et documentĂ©e au moyen du questionnaire figurant Ă l'annexe 1. Le cas Ă©chĂ©ant, l'enquĂȘte doit ĂȘtre confiĂ©e Ă des prestataires de services externes.
7. Calendrier et obligation d'annoncer une violation de la sécurité des données
7.1 Timing
Une annonce de violation de la sĂ©curitĂ© des donnĂ©es doit ĂȘtre transmise Ă l'autoritĂ© de contrĂŽle de la protection des donnĂ©es compĂ©tente le plus rapidement possible et, en principe, au plus tard dans les 72 heures suivant sa dĂ©couverte.
Il y a connaissance d'une violation de la sécurité des données lorsqu'il est établi avec un degré de certitude raisonnable qu'une violation de la sécurité des données s'est produite et qu'elle a entraßné une mise en danger des données personnelles.
Exemples :
1. En cas de perte d'une clĂ© USB contenant des donnĂ©es personnelles non cryptĂ©es, il est souvent impossible de dĂ©terminer si des personnes non autorisĂ©es ont eu accĂšs Ă ces donnĂ©es. Cependant, mĂȘme si l'entreprise ne peut pas dĂ©terminer s'il y a eu une violation de la confidentialitĂ©, il existe un degrĂ© raisonnable de certitude qu'il y a eu une violation de la disponibilitĂ©. L'entreprise aurait « pris connaissance » si elle avait constatĂ© que la clĂ© USB avait Ă©tĂ© perdue.
2. Un tiers informe une entreprise qu'il a reçu par erreur des données personnelles d'un client de la part de l'entreprise et fournit des preuves de la divulgation non autorisée. Comme l'entreprise a reçu des preuves évidentes de violation de la confidentialité, elle en a « pris connaissance »
3. Une entreprise dĂ©couvre qu'il y a peut-ĂȘtre eu une intrusion dans son rĂ©seau. L'entreprise examine ses systĂšmes pour dĂ©terminer si les donnĂ©es personnelles qui s'y trouvent ont Ă©tĂ© compromises et confirme que c'est le cas. Comme l'entreprise dispose maintenant de preuves Ă©videntes d'une atteinte Ă l'intĂ©gritĂ©, elle a « pris connaissance »
4. Un cybercriminel contacte l'entreprise aprÚs avoir piraté son systÚme pour demander une rançon. Dans ce cas, aprÚs avoir vérifié son systÚme pour confirmer qu'il a été attaqué, l'entreprise a des preuves évidentes qu'une violation de la sécurité des données a eu lieu et en a « pris connaissance »
Les entreprises sont tenues de prendre toutes les mesures techniques et organisationnelles appropriées pour déterminer immédiatement si une violation de la sécurité des données a eu lieu.
L'entreprise est ainsi tenue de veiller Ă ce qu'elle "prenne connaissance" en temps utile des violations.
Annonce par Ă©tapes
En fonction de la nature de la violation de la sĂ©curitĂ© des donnĂ©es, l'entreprise peut avoir besoin d'une enquĂȘte supplĂ©mentaire pour Ă©tablir tous les faits pertinents liĂ©s Ă l'incident. Toutes les informations nĂ©cessaires ne sont pas toujours disponibles dans les 72 heures suivant la prise de connaissance d'une violation de la sĂ©curitĂ© des donnĂ©es. Une annonce par Ă©tapes est donc autorisĂ©e. Ce sera principalement le cas pour les violations de sĂ©curitĂ© des donnĂ©es de grande ampleur, comme les incidents de cybersĂ©curitĂ©, qui nĂ©cessitent une enquĂȘte technique approfondie afin de dĂ©terminer pleinement l'Ă©tendue du risque pour les donnĂ©es personnelles. L'entreprise doit informer l'autoritĂ© de protection des donnĂ©es de lâannonce par Ă©tapes et la justifier.
Annonce retardées
Si l'annonce Ă l'autoritĂ© de contrĂŽle n'est pas faite dans les 72 heures, elle doit ĂȘtre accompagnĂ©e d'une justification du retard. Cette disposition, ainsi que le concept d'annonce par Ă©tapes, reconnaĂźt qu'une entreprise n'est pas toujours en mesure d'annoncer une violation de la sĂ©curitĂ© des donnĂ©es dans ce dĂ©lai et qu'une annonce retardĂ©e peut ĂȘtre autorisĂ©e.
Cela pourrait ĂȘtre le cas, par exemple, lorsqu'une entreprise subit plusieurs violations similaires de la sĂ©curitĂ© des donnĂ©es dans un court laps de temps, qui affectent de la mĂȘme maniĂšre un grand nombre de personnes concernĂ©es.
En principe, chaque violation de la sĂ©curitĂ© des donnĂ©es est un incident qui doit ĂȘtre annoncĂ©. Toutefois, les autoritĂ©s europĂ©ennes de protection des donnĂ©es reconnaissent que les entreprises peuvent soumettre une notification "groupĂ©e" afin d'Ă©viter une surcharge de travail. La condition est que ces violations de la sĂ©curitĂ© des donnĂ©es concernant le type de donnĂ©es personnelles et les modalitĂ©s de la violation se soient produites dans un laps de temps relativement court. Si une sĂ©rie de violations de la sĂ©curitĂ© des donnĂ©es se produit, impliquant diffĂ©rents types de donnĂ©es personnelles qui ont Ă©tĂ© violĂ©es de diffĂ©rentes maniĂšres, chaque incident doit ĂȘtre annoncĂ© sĂ©parĂ©ment.
7.2 Annonce à l'autorité de protection des données
RGPD
Le RGPD exige que toute violation de la sĂ©curitĂ© des donnĂ©es soit annoncĂ©e aux autoritĂ©s de protection des donnĂ©es, sauf s'il peut ĂȘtre exclu qu'elle n'ait pas d'impact nĂ©gatif sur les personnes concernĂ©es. Une Ă©valuation spĂ©cifique des risques n'est donc pas nĂ©cessaire.
LPD
Contrairement au RGPD, la LPD exige, pour l'annonce Ă l'autoritĂ© de protection des donnĂ©es, que la violation de la sĂ©curitĂ© des donnĂ©es entraĂźne vraisemblablement un risque Ă©levĂ© pour la personnalitĂ© ou les droits fondamentaux de la personne concernĂ©e. L'annexe 4 contient des exemples de ce qui constitue un "risque Ă©levĂ©". Ils servent Ă illustrer quand une annonce doit ĂȘtre faite aux
autorités de protection des données conformément à la LPD. En outre, les explications suivantes aident à évaluer les risques.
Ăvaluation du risque de violation de la sĂ©curitĂ© des donnĂ©es
Le risque est Ă©valuĂ© en fonction de la probabilitĂ© d'occurrence et de la gravitĂ© d'un Ă©vĂ©nement donnĂ©. L'entreprise doit procĂ©der Ă une Ă©valuation objective des risques. Il est utile d'utiliser une matrice structurĂ©e pour dĂ©terminer la probabilitĂ© et la gravitĂ© des risques. Si une violation de la sĂ©curitĂ© des donnĂ©es s'est produite, la probabilitĂ© et la gravitĂ© du risque qui en rĂ©sulte pour la personnalitĂ© ou les droits fondamentaux de la personne concernĂ©e doivent ĂȘtre analysĂ©es et documentĂ©es en utilisant la matrice d'identification des risques ci-dessous : GravitĂ© des dommages
Lointain Possible Probable
Probabilité
Chaque violation doit ĂȘtre Ă©valuĂ©e au cas par cas, en tenant compte de tous les facteurs pertinents. Si l'Ă©valuation aboutit Ă la dĂ©cision qu'une violation de la sĂ©curitĂ© des donnĂ©es doit ĂȘtre annoncĂ©e Ă l'autoritĂ© de protection des donnĂ©es compĂ©tente, la dĂ©cision finale d'annonce doit ĂȘtre prise par la direction.
7.3 Meldung an die betroffenen Personen
RGPD
Le RGPD exige qu'une violation de la sĂ©curitĂ© des donnĂ©es soit communiquĂ©e aux personnes concernĂ©es si cette violation est susceptible d'engendrer un risque Ă©levĂ© pour les droits et libertĂ©s des personnes physiques. L'annexe 4 donne des indications sur le moment oĂč une communication doit ĂȘtre effectuĂ©e auprĂšs des personnes concernĂ©es.
En ce qui concerne l'Ă©valuation des risques, la matrice prĂ©cĂ©dente est Ă©galement utile. Une violation de la sĂ©curitĂ© des donnĂ©es peut avoir un certain nombre de consĂ©quences nĂ©gatives pour les personnes concernĂ©es, notamment des souffrances psychologiques et des dommages physiques ou matĂ©riels. Les atteintes Ă la sĂ©curitĂ© des donnĂ©es peuvent avoir un impact considĂ©rable sur les personnes dont les donnĂ©es personnelles ont Ă©tĂ© compromises. Chaque violation doit donc ĂȘtre Ă©valuĂ©e au cas par cas, en tenant compte de tous les facteurs pertinents. Si l'Ă©valuation aboutit Ă la dĂ©cision qu'une violation de la sĂ©curitĂ© des donnĂ©es doit ĂȘtre communiquĂ©e aux personnes concernĂ©es, la dĂ©cision finale de communication doit ĂȘtre prise par la direction.
LPD
La LPD exige que les personnes concernĂ©es soient informĂ©es d'une violation de la sĂ©curitĂ© des donnĂ©es si, cumulativement, la violation de la sĂ©curitĂ© des donnĂ©es est susceptible d'engendrer un risque Ă©levĂ© pour la personnalitĂ© ou les droits fondamentaux des personnes concernĂ©es et si cela est nĂ©cessaire pour leur protection ou si le PFPDT l'exige. En ce qui concerne la premiĂšre condition, on peut se rĂ©fĂ©rer aux explications relatives Ă l'annonce Ă l'autoritĂ© de protection des donnĂ©es conformĂ©ment Ă la LPD. La deuxiĂšme condition est remplie si l'information des personnes concernĂ©es permet d'Ă©liminer ou de rĂ©duire le risque. (L'annexe 4 contient des exemples de cas dans lesquels les personnes concernĂ©es doivent ĂȘtre informĂ©es).
L'information des personnes concernĂ©es est donc particuliĂšrement nĂ©cessaire lorsque le risque immĂ©diat de dommage Ă leur encontre doit ĂȘtre limitĂ©. L'une des principales raisons d'informer les personnes concernĂ©es est de les aider Ă prendre des mesures pour se protĂ©ger contre les consĂ©quences d'une violation de la sĂ©curitĂ© des donnĂ©es, par exemple en changeant leurs codes d'accĂšs ou leurs mots de passe.
Si l'Ă©valuation aboutit Ă la dĂ©cision que les personnes concernĂ©es doivent ĂȘtre informĂ©es d'une violation de la sĂ©curitĂ© des donnĂ©es, la dĂ©cision finale dâeffectuer cette information doit ĂȘtre prise par la direction.
8. Procédure d'annonce interne d'une violation de la sécurité des données
Une violation de la sĂ©curitĂ© des donnĂ©es peut ĂȘtre constatĂ©e par tous les employĂ©s de l'entreprise. Dans un premier temps, les collaborateurs qui dĂ©couvrent l'incident doivent immĂ©diatement contacter le service de coordination de la protection des donnĂ©es et documenter la violation dĂ©couverte (au moins avec l'heure et la date, y compris d'autres informations pour la conservation des preuves). Le service de coordination de la protection des donnĂ©es prend ensuite en charge le cas et apporte son soutien et ses conseils aux collaborateurs.
Le service de coordination de la protection des donnĂ©es informe immĂ©diatement la direction, documente la violation de la protection des donnĂ©es (cf. annexe 1) et examine la nĂ©cessitĂ© d'une annonce de la violation de la sĂ©curitĂ© des donnĂ©es Ă l'autoritĂ© de surveillance de la protection des donnĂ©es compĂ©tente. Si elle estime qu'une annonce de la violation de la sĂ©curitĂ© des donnĂ©es est nĂ©cessaire, l'unitĂ© de coordination de la protection des donnĂ©es rassemble les informations afin de permettre Ă la direction de dĂ©cider si la violation doit ĂȘtre annoncĂ©e. Une fois que la direction a
pris sa décision, l'unité de coordination de la protection des données prépare et soumet l'annonce (voir annexe 2 et/ou annexe 3).
En général, la procédure en cas de violation de la sécurité des données comprend les étapes suivantes :
Ătape Contenu
1 L'entreprise découvre ou est alertée d'un incident de sécurité et détermine si des données personnelles sont concernées. L'entreprise « prend connaissance » d'une violation de la protection des données personnelles et évalue le risque pour les personnes concernées.
2 Documentation de la violation de la sécurité des données (heure et date) et conservation des preuves
Qui?
Quand?
Collaborateurs A tout moment
3 Information du service de coordination de la protection des données
Collaborateurs
Collaborateurs
4 Examen de la documentation du/des employĂ©(s) et dĂ©cision sur la mise en Ćuvre de mesures. Ăvaluation du risque de la violation de la sĂ©curitĂ© des donnĂ©es pour les personnes concernĂ©es
5 Déterminer si une annonce de violation de la sécurité des données est nécessaire. Attention à la différence entre les seuils de notification de la LPD et du RGPD. Documenter la violation et obtenir l'approbation de la direction.
Service de coordination de la protection des données
Immédiatement aprÚs la découverte de la violation
Immédiatement aprÚs la découverte de la violation
Immédiatement aprÚs
Service de coordination de la protection des données
Direction générale
Immédiatement aprÚs
6 Préparer et transmettre l'annonce de violation de la sécurité des données à l'autorité de protection des données.
7 Si nécessaire, préparer et transmettre l'annonce de la violation de la sécurité des données aux personnes concernées.
8 Documentation de l'incident et de l'annonce
9 Examen de l'incident et demande Ă la direction de prendre des mesures pour Ă©viter que des incidents similaires ne se reproduisent.
Service de coordination de la protection des données Au plus tard 72 heures aprÚs la découverte de la violation de la protection des données
Service de coordination de la protection des données Immédiatement aprÚs l'annonce à l'autorité de contrÎle
Service de coordination de la protection des données
Immédiatement aprÚs
Service de coordination de la protection des données AprÚs la clÎture de l'incident
Les collaborateurs doivent informer le service de coordination de la protection des donnĂ©es dĂšs qu'ils constatent ou soupçonnent une violation de la sĂ©curitĂ© des donnĂ©es. Il est important de documenter la date et l'heure de la dĂ©couverte de la violation afin de s'assurer que l'annonce Ă l'autoritĂ© de contrĂŽle compĂ©tente en matiĂšre de protection des donnĂ©es puisse ĂȘtre faite le plus rapidement possible, en principe dans les 72 heures au plus tard. Le service de coordination de la protection des donnĂ©es informe la direction de l'entreprise afin de dĂ©terminer si une violation doit ĂȘtre annoncĂ©e. En outre, les mesures appropriĂ©es sont prises par le service de coordination de la protection des donnĂ©es en collaboration avec d'autres dĂ©partements.
9. Forme de l'annonce d'une violation de la sécurité des données
Si l'analyse montre qu'une violation de la sĂ©curitĂ© des donnĂ©es doit ĂȘtre annoncĂ©e Ă l'autoritĂ© de contrĂŽle de la protection des donnĂ©es compĂ©tente (voir 7.27.3) et que la direction, en accord avec le service de coordination de la protection des donnĂ©es, a dĂ©cidĂ© d'annoncer la violation de la sĂ©curitĂ© des donnĂ©es, le formulaire type de l'annexe 2 doit ĂȘtre utilisĂ©. Le formulaire complĂ©tĂ© est envoyĂ© Ă l'autoritĂ© de contrĂŽle de la protection des donnĂ©es compĂ©tente et une copie doit ĂȘtre archivĂ©e.
Si l'analyse d'une violation de la sĂ©curitĂ© des donnĂ©es rĂ©vĂšle que les personnes concernĂ©es doivent ĂȘtre annoncĂ©es (voir 7.3) et que la direction a dĂ©cidĂ©, en concertation avec le coordinateur de
la protection des donnĂ©es, d'informer les personnes concernĂ©es, le formulaire type de l'annexe 3 doit ĂȘtre utilisĂ©. Le formulaire rempli peut ĂȘtre envoyĂ© Ă chaque personne concernĂ©e et une copie doit ĂȘtre archivĂ©e.
10. Informations supplémentaires utiles
Des exemples utiles sont fournis Ă l'annexe 4 de ce guide.
11. Responsabilités
11.1 Direction générale
La direction dĂ©finit le cadre gĂ©nĂ©ral de l'annonce des violations de la sĂ©curitĂ© des donnĂ©es Ă l'autoritĂ© de contrĂŽle de la protection des donnĂ©es compĂ©tente et dĂ©cide en dernier ressort de l'opportunitĂ© d'une annonce. Elle dĂ©signe un responsable de la protection des donnĂ©es â le service de coordination de la protection des donnĂ©es â qui agit en tant qu'instance de gestion, de conseil et de contrĂŽle pour les annonces de violations de la sĂ©curitĂ© des donnĂ©es.
11.2 Chefs de service
Les chefs de service de tous les niveaux sont responsables, dans leurs domaines de responsabilité, de l'application et du respect des dispositions légales relatives à la protection des données. Ils veillent, en collaboration avec le service de coordination de la protection des données, à former et à sensibiliser leurs collaborateurs. Ils jouent un rÎle de modÚle et encouragent les collaborateurs à respecter les mesures de protection des données.
11.3 Collaborateurs
Chaque collaborateur doit veiller à informer immédiatement le service de coordination de la protection des données de toute violation de la sécurité des données, à documenter la violation détectée et à conserver les preuves. Les collaborateurs doivent suivre les instructions du service de coordination de la protection des données. En outre, les collaborateurs sont tenus de participer réguliÚrement à des formations sur le thÚme de la sécurité des données.
11.4 Service de coordination de la protection des données
L'entreprise a dĂ©signĂ© un service de coordination de la protection des donnĂ©es. Le service de coordination de la protection des donnĂ©es est le point de contact central pour les questions relatives Ă la protection et Ă la sĂ©curitĂ© des donnĂ©es, ainsi que le service responsable pour annoncer, au cas par cas et sur la base d'une dĂ©cision de la direction, une violation de la sĂ©curitĂ© des donnĂ©es Ă l'autoritĂ© de surveillance de la protection des donnĂ©es compĂ©tente. Il peut ĂȘtre contactĂ© par fbm@palace.ch ou par tĂ©lĂ©phone 861
Le service de coordination de la protection des données est chargé de documenter les annonces de violation de la sécurité des données afin de respecter les critÚres de responsabilisation. Il veille à ce que la documentation relative aux annonces soit conservée pendant au moins deux ans. En
outre, le service de coordination de la protection des données est responsable de l'examen des violations de la sécurité des données en collaboration avec d'autres services aprÚs l'incident et, le cas échéant, de la proposition à la direction de mesures nécessaires pour prévenir des incidents similaires.
12. Sanctions
Le non-respect de ce guide peut entraßner des mesures disciplinaires et/ou des procédures civiles et/ou pénales.
13. Dispositions finales
13.1 Modifications et ajouts
Ce guide ne peut ĂȘtre modifiĂ©, complĂ©tĂ© ou abrogĂ© que par Ă©crit et par dĂ©cision de la direction. Par modification ou ajout, on entend l'ajout, la suppression ou la modification de toute disposition. Les corrections de nature formelle ne sont pas concernĂ©es.
13.2 Documents complémentaires
Ce guide sert de base pour garantir que les notifications de violation de la sĂ©curitĂ© des donnĂ©es sont effectuĂ©es lorsque cela est nĂ©cessaire. Sur cette base, d'autres documents peuvent ĂȘtre dĂ©veloppĂ©s en relation avec le traitement des donnĂ©es personnelles, notamment des guides spĂ©cifiques aux utilisateurs ou aux services.
13.3 Annexes incluses
Les annexes suivantes font partie intégrante de ce guide :
Annexe 1 : Questionnaire pour documenter les violations de la sécurité des données
Annexe 2 : Formulaire de notification (autorité de contrÎle de la protection des données)
Annexe 3 : Formulaire de notification (personnes concernées)
Annexe 4 : Exemples utiles
En cas de contradiction, le présent guide prévaut.
13.4 Divers
Ce guide est accessible à tous les collaborateurs par le biais du systÚme de directives existant de l'entreprise ou par d'autres canaux selon la décision du service de coordination de la protection des données.
Les modifications ou compléments apportés à ce guide entrent en vigueur au moment de leur publication sur https://issuu.com/gstaadpalace/docs/violation_de_la_s_curit_des_donn_es_fr_8.1.2025.?fr=xKAE9_-Dt8g
13.5 Date d'entrée en vigueur
Le présent guide entre en vigueur LunedÏ 13 gennaio 2025
Annexe 1 Questionnaire de documentation des violations de la sécurité des données
Cette annexe doit ĂȘtre remplie par le service de coordination de la protection des donnĂ©es. L'annexe remplie doit ĂȘtre conservĂ©e afin de satisfaire Ă l'obligation de rendre compte en matiĂšre de protection des donnĂ©es. Toute violation de la sĂ©curitĂ© des donnĂ©es, Ă l'exception des incidents mineurs, doit ĂȘtre documentĂ©e, quel que soit le niveau de risque pour les personnes concernĂ©es. L'Ă©valuation des risques doit ĂȘtre effectuĂ©e Ă l'aide de ce questionnaire et de la matrice d'identification des risques (voir article 7.2 du guide). Enfin, cette Ă©valuation peut ĂȘtre transfĂ©rĂ©e dans un outil spĂ©cifique de documentation des cyberincidents (p. ex. OneTrust ou ZOA-GDPR) afin de documenter la violation de la sĂ©curitĂ© des donnĂ©es et la dĂ©cision prise dans le cas particulier. Cette documentation doit toutefois ĂȘtre effectuĂ©e indĂ©pendamment de l'utilisation d'un tel outil.
Description de la violation de la sécurité des données (que s'est-il passé ? Comment la violation de la sécurité des données s'estelle produite et dans quelles circonstances ? etc.)
la date et l'heure de la violation de la sécurité des données
Quelles sont les données personnelles concernées ?
Des données personnelles sensibles sontelles concernées (p. ex. données relatives à la santé, etc.) ?
Description des conséquences probables de la violation de la sécurité des données
Nombre d'enregistrements concernés
Nombre de personnes concernées
Description des mesures prises
1. Responsabilités:
Fonction
Responsable auprÚs de l'unité de coordination de la protection des données
Délégué à la protection des données (le cas échéant)
Personne responsable de l'annonce
Nom et unité
Veuillez noter que le service de coordination de la protection des donnĂ©es doit ĂȘtre impliquĂ© dans l'annonce des violations de la sĂ©curitĂ© des donnĂ©es Ă l'autoritĂ© de protection des donnĂ©es compĂ©tente. La dĂ©cision d'annoncer une violation de la sĂ©curitĂ© des donnĂ©es Ă l'autoritĂ© de protection des donnĂ©es compĂ©tente doit ĂȘtre prise par la direction.
2. Annonce pour le cas oĂč l'entreprise est un sous-traitant
Si l'entreprise est un sous-traitant et qu'une violation de la sĂ©curitĂ© des donnĂ©es a Ă©tĂ© constatĂ©e, les informations susmentionnĂ©es doivent ĂȘtre transmises sans dĂ©lai au responsable du traitement. Toutefois, les paragraphes 1 et 3 ne doivent pas ĂȘtre complĂ©tĂ©s ou transmis au responsable du traitement.
Notification transmise au responsable du traitement le/par :
3. Schéma de validation
La violation de la sĂ©curitĂ© des donnĂ©es entraĂźne-t-elle un risque pour les personnes concernĂ©es et doit-elle donc ĂȘtre signalĂ©e Ă l'autoritĂ© de contrĂŽle de la protection des donnĂ©es ?
Oui Non
Une annonce à l'autorité de contrÎle n'est pas nécessaire si la violation de la protection des données n'est pas susceptible d'entraßner un risque élevé pour la personne concernée.
Justification et décision :
Les personnes concernĂ©es doivent-elles ĂȘtre informĂ©es ?
Oui Non Les personnes concernĂ©es doivent toujours ĂȘtre informĂ©es si cela est nĂ©cessaire pour leur protection ou si l'autoritĂ© de contrĂŽle de la protection des donnĂ©es compĂ©tente l'exige. L'information des personnes concernĂ©es n'est pas (plus) nĂ©cessaire s'il existe des mesures techniques et organisationnelles appropriĂ©es qui rendent pratiquement impossible tout accĂšs non autorisĂ© aux donnĂ©es personnelles concernĂ©es (par exemple, cryptage). Il est Ă©galement possible de renoncer Ă une information si des mesures efficaces ont Ă©tĂ© prises pour limiter les dommages. En rĂšgle gĂ©nĂ©rale, l'information des personnes concernĂ©es devrait avoir lieu si l'information permet aux personnes concernĂ©es de minimiser efficacement le dommage par leurs propres mesures (p. ex. en bloquant la carte de crĂ©dit, en modifiant un mot de passe, etc.)
Justification et décision :
Information nécessaire ?
Date et heure de l'information L'annonce doit ĂȘtre faite dĂšs que possible et, en principe, au plus tard dans les 72 heures suivant la constatation de la violation de la sĂ©curitĂ© des donnĂ©es.
Si ce dĂ©lai ne peut pas ĂȘtre respectĂ©, veuillez joindre une justification dĂ©taillĂ©e.
Signature de la personne responsable du service de coordination de la protection des données
Approbation de la direction
Annexe 2 Formulaire d'annonce (autorité de contrÎle de la protection des données)
Pour une annonce de violation de la sĂ©curitĂ© des donnĂ©es au PFPDT, il convient d'utiliser le service en lighne d'annonce du PFPDT. Celle-ci peut ĂȘtre consultĂ©e Ă l'adresse suivante : https://databreach.edoeb.admin.ch/report
Pour une annonce Ă d'autres autoritĂ©s de protection des donnĂ©es, le formulaire suivant peut ĂȘtre utilisĂ©, dans la mesure oĂč les autoritĂ©s de protection des donnĂ©es concernĂ©es ne prescrivent pas obligatoirement d'autres formulaires.
1. Adresse de l'autorité de contrÎle pour la protection des données
2. Nom et coordonnées du responsable du traitement
3. Nom et coordonnées de la personne responsable du service de coordination de la protection des données
4. Description de la violation de la sécurité des données
5. Date, heure et durée de la violation de la sécurité des données (et, le cas échéant, justification de la notification aprÚs l'expiration du délai de 72 heures).
6. Quelles sont les données personnelles concernées ?
par exemple, coordonnées, informations sur la carte de crédit, etc.
7. Description des conséquences et des risques potentiels de la violation de la sécurité des données pour les personnes concernées
8. Catégories de données personnelles et nombre d'enregistrements concernés
9. Catégories et nombre de personnes concernées
10. Description des mesures prises pour atténuer les conséquences et les risques
Annexe 3 Formulaire dâinformation (personnes concernĂ©es)
1. Adresse de la personne concernée
2. Nom et coordonnées de la personne responsable de l'unité de coordination de la protection des données
3. Description de la violation de la sécurité des données et des données personnelles concernées
4. Description des conséquences et des risques potentiels de la violation de la sécurité des données pour les personnes concernées
5. Description des mesures prises pour atténuer les conséquences et les risques
6. Mesures que la personne concernée peut adopter
Annexe 4 Exemples utiles
La sélection d'exemples suivante permet de déterminer si une notification à l'autorité de contrÎle et/ou une information de la personne concernée est nécessaire dans différents scénarios :
Exemple
EUne entreprise a stocké la copie de sauvegarde d'une archive contenant des données personnelles sous forme cryptée sur une clé USB. Lors d'un cambriolage, la clé USB est dérobée.
Notification à l'autorité de contrÎle compétente ?
Non
Une entreprise opÚre un service en ligne. Le service est victime d'une cyber-attaque et des données personnelles sont dérobées.
Le centre d'appels d'une entreprise subit une brĂšve coupure de
Oui, l'incident doit ĂȘtre annoncĂ© Ă l'autoritĂ© de contrĂŽle si des consĂ©quences sont attendues pour les personnes concernĂ©es.
Information de la personne concernée ?
Non.
Remarques
Non.
Tant que les donnĂ©es sont cryptĂ©es par un algorithme conforme Ă l'Ă©tat des connaissances, qu'il existe des sauvegardes, que la clĂ© unique n'a pas Ă©tĂ© compromise et que les donnĂ©es peuvent ĂȘtre restaurĂ©es rapidement, il ne s'agit probablement pas d'une violation de la protection des donnĂ©es Ă annoncer. En revanche, si une violation se produit ultĂ©rieurement, l'annonce est nĂ©cessaire.
Oui, les personnes concernĂ©es doivent ĂȘtre informĂ©es, en fonction du type de donnĂ©es personnelles affectĂ©es et si des consĂ©quences graves pour les personnes concernĂ©es sont Ă prĂ©voir. -
Non. Il ne s'agit pas d'une violation de la protection des
courant de plusieurs minutes, empĂȘchant les clients de joindre l'entreprise et d'accĂ©der Ă leurs dossiers.
Une entreprise est victime d'une attaque de ransomware qui crypte toutes les donnĂ©es. Aucune copie de sauvegarde n'est disponible et les donnĂ©es ne peuvent pas ĂȘtre rĂ©cupĂ©rĂ©es. AprĂšs enquĂȘte, il s'avĂšre que le ransomware a servi exclusivement au chiffrement des donnĂ©es et qu'aucun autre logiciel malveillant n'Ă©tait prĂ©sent dans le systĂšme.
Oui, l'incident doit ĂȘtre annoncĂ© Ă l'autoritĂ© de contrĂŽle compĂ©tente si des consĂ©quences sont attendues pour les personnes concernĂ©es, car il s'agit d'une perte de disponibilitĂ© des donnĂ©es.
Oui, les personnes concernĂ©es doivent ĂȘtre informĂ©es, en fonction du type de donnĂ©es personnelles affectĂ©es, des consĂ©quences possibles de l'indisponibilitĂ© des donnĂ©es et d'autres consĂ©quences probables.
donnĂ©es Ă dĂ©clarer, mais l'incident doit nĂ©anmoins ĂȘtre documentĂ©.
Si une sauvegarde des donnĂ©es avait Ă©tĂ© disponible et si les donnĂ©es avaient pu ĂȘtre restaurĂ©es en temps utile, l'annonce Ă l'autoritĂ© de contrĂŽle et l'information des personnes concernĂ©es n'auraient pas Ă©tĂ© nĂ©cessaires, car il n'y aurait pas eu de perte permanente de la disponibilitĂ© ou de la confidentialitĂ© des donnĂ©es.
Une entreprise exploite une place de marché en ligne avec des clients dans plusieurs pays. AprÚs une cyber-attaque sur la place de marché, le pirate publie sur Internet les noms d'utilisateur, les mots de passe et l'historique des achats.
Une société d'hébergement Web agissant en tant que sous-traitant constate que le code de contrÎle d'autorisation des utilisateurs contient une erreur. En raison de cette erreur, chaque utilisateur peut voir les informations de compte de
Oui, les incidents impliquant un traitement transfrontalier doivent ĂȘtre annoncĂ©s Ă l'autoritĂ© ou aux autoritĂ©s de contrĂŽle compĂ©tentes.
Oui, car l'incident pourrait entraßner un risque élevé et l'information est nécessaire pour protéger les personnes concernées.
L'entreprise doit prendre des mesures - par exemple en forçant la réinitialisation des mots de passe des comptes concernés - et prendre d'autres mesures pour limiter le risque.
En tant que soustraitant, l'hébergeur doit immédiatement informer ses clients concernés (les responsables du traitement).
En supposant que l'hébergeur a mené
S'il est peu probable que les personnes concernĂ©es courent un risque Ă©levĂ© et qu'il n'y a pas de besoin de protection, elles ne doivent pas ĂȘtre averties.
L'hébergeur (le sous-traitant) doit également tenir compte de toute autre obligation de notification.
Si rien n'indique que la vulnérabilité a été exploitée chez
tous les autres utilisateurs.
Un e-mail de publipostage est envoyĂ© aux destinataires dans les champs "Ă..." ou "Cc...", de sorte que les adresses e-mail des destinataires soient visibles pour tous les destinataires.
sa propre enquĂȘte, les responsables concernĂ©s doivent avoir une certitude raisonnable quant Ă l'existence d'une violation de la protection des donnĂ©es dans leur cas particulier, de sorte qu'il est probable qu'ils aient "pris connaissance" de la violation de la protection des donnĂ©es lorsque l'hĂ©bergeur (le sous-traitant) les a informĂ©s. Dans ce cas, le responsable du traitement doit notifier la violation de donnĂ©es Ă l'autoritĂ© de contrĂŽle.
Oui, la notification Ă l'autoritĂ© de contrĂŽle peut ĂȘtre obligatoire si un grand nombre de personnes sont concernĂ©es, si des donnĂ©es sensibles sont divulguĂ©es (par exemple, la liste de diffusion d'un psychothĂ©rapeute) ou si d'autres facteurs prĂ©sentent un risque Ă©levĂ© (par exemple, si l'e-mail contient les mots de passe d'origine).
Oui, les personnes concernĂ©es doivent ĂȘtre informĂ©es, en fonction de l'Ă©tendue et de la nature des donnĂ©es personnelles concernĂ©es et de la gravitĂ© des consĂ©quences possibles.
l'un des responsables du traitement, il se peut qu'il n'y ait pas eu de violation de la protection des données à annoncer.
La notification peut ne pas ĂȘtre nĂ©cessaire si aucune donnĂ©e sensible n'est divulguĂ©e et si seul un petit nombre d'adresses Ă©lectroniques est visible.