Procédure en cas de violation des données personnelles
Le Règlement sur la protection des données exige des responsables d’entreprises qu'ils notifient à la CNIL toute violation ou perte d'informations personnelles et qu'ils avertissent les parties intéressées lorsque le risque est élevé.
Pour toutes questions concernant téo et le Règlements Général sur la Protection des Données (RGPD), vous pouvez envoyer un mail à notre DPO (Data Protection Officer) : sp@ikno.fr
Prévenir la violation des données personnelles
Les salariés sont sensibilisés à la protection des données personnelles : sécurisation des postes, clause des contrats de travail, information régulière sur le fonctionnement des messageries électroniques, procédure de déclaration en cas de vol ou de perte de matériel informatique, accès et droits différenciés au service SAV et aux espaces de tests, minimisation de l'utilisation des supports de données (tableaux Excel, clés USB...)
L'accès à chaque TéO est ultra sécurisé. Pour en savoir plus sur TéOconnect, la connexion à TéO et la sécurisation des mots de passe https://aide.teoapp.fr/docs/securite/connexion
Procédure interne en cas de perte ou vol de matériel informatique
Les pertes ou le vol de matériel informatique ou de tout support de données sont déclarés au chef du service concerné (Commercial, Développement, SAV ou Relation client) qui en réfère à la direction. La direction gère elle-même le parc informatique du personnel en lien avec son prestataire informatique (Dell).
Procédure interne concernant le matériel informatique non utilisé
Les ordinateurs non utilisés sont systématiquement réinitialisés et ne contiennent aucune données personnelles.
Cas de violation de données personnelles
Tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité des données personnelles fait l'objet d'un repérage par nos outils de monitoring qui détectent et signalent les activités suspectes.
Tout incident fait l'objet d'une alerte auprès de trois personnes : le chef du service technique, la direction et la cheffe du service clients (DPO). Ils évaluent ensemble les risques encourus par les données personnelles.
Le cas échéant, ils alertent les responsables de traitement concernés dans les meilleurs délais afin qu'ils puissent prendre leur disposition. Les responsables de traitement mettent à jour leur registre des violations et restent maîtres de la décision d'informer ou non l'autorité de contrôle.
Cas de violation de données personnelles signalées par un client responsable de traitement
Chaque client responsable de traitement peut nous solliciter afin de déclarer une violation de données personnelles afin que nous l'assistions dans l'évaluation des risques et que nous le conseillions dans la marche à suivre auprès de la CNIL le cas échéant.
L'évaluation des risques
Dans l'évaluation des risques, les principes suivants sont pris en compte pour déterminer que la notification à la CNIL n'est pas nécessaire : les données divulguées sont déjà rendues publiques ; la suppression de données sauvegardées ont été immédiatement restaurées ; la perte de données protégées par un algorithme de chiffrement à l’état de l’art, la clé de chiffrement n’est pas compromise et une copie des données reste disponible.
Les critères permettant de décider que le risque est important sont le suivants : type de violation affectant l’intégrité, confidentialité ou disponibilité des données, sensibilité et volume des données personnelles concernées, facilité d’identifier les personnes touchées par la violation, conséquences possibles de celles-ci pour les personnes, caractéristiques de ces personnes (enfants, personnes vulnérables, etc.), activité du responsable du traitement.
Si le risque est important, il est nécessaire de notifier la violation auprès de l'autorité de contrôle dans un délai de 72 heures . Le formulaire est ici :
https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles
Cet article vous a été utile ?