Procédure en cas de violation des données
Le RGPD exige des responsables de traitement qu'ils notifient à la CNIL toute violation de données personnelles dans un délai de 72 heures et qu'ils informent les personnes concernées si le risque est élevé.
Pour toute question concernant téo et le RGPD, contactez notre DPO (Data Protection Officer) : sp@ikno.fr
Prévention
Mesures internes
téo met en œuvre des mesures de prévention pour minimiser les risques :
| Mesure | Description |
|---|---|
| Sensibilisation | Formation régulière des salariés à la protection des données |
| Sécurisation des postes | Chiffrement, verrouillage automatique, antivirus |
| Contrôle des accès | Droits différenciés selon les profils |
| Minimisation | Limitation de l'utilisation de supports amovibles (clés USB, Excel...) |
Sécurité de l'authentification
L'accès à téo est sécurisé par des mécanismes robustes. Voir Sécurité et connexion pour les détails.
Procédures internes
Perte ou vol de matériel
En cas de perte ou vol de matériel informatique :
- Déclaration immédiate au responsable de service
- Information de la direction
- Évaluation des données potentiellement compromises
- Actions correctives (révocation d'accès, etc.)
Matériel non utilisé
Les ordinateurs non utilisés sont systématiquement réinitialisés avant réaffectation ou mise au rebut.
Détection des violations
Surveillance continue
Nos outils de monitoring détectent automatiquement :
- Activités suspectes sur les comptes
- Tentatives d'accès non autorisées
- Anomalies dans les transferts de données
Circuit d'alerte
En cas d'incident détecté :
| Étape | Action |
|---|---|
| 1 | Alerte automatique du chef du service technique |
| 2 | Information de la direction |
| 3 | Notification du DPO |
| 4 | Évaluation conjointe des risques |
Gestion d'une violation
Évaluation des risques
Une violation ne nécessite pas de notification à la CNIL si :
- Les données étaient déjà publiques
- Les données supprimées ont été immédiatement restaurées
- Les données étaient chiffrées et la clé n'est pas compromise
Critères de risque élevé
La notification est obligatoire si :
| Critère | Exemple |
|---|---|
| Type de violation | Atteinte à la confidentialité, intégrité ou disponibilité |
| Sensibilité des données | Données de santé, données financières |
| Volume | Grand nombre de personnes concernées |
| Identification | Facilité à identifier les personnes touchées |
| Personnes vulnérables | Enfants, patients... |
En cas de risque élevé, la notification à la CNIL doit être faite dans les 72 heures.
Accompagnement des clients
Si vous êtes responsable de traitement et constatez une violation :
- Contactez-nous pour signaler l'incident
- Nous vous assistons dans l'évaluation des risques
- Nous vous conseillons sur la marche à suivre auprès de la CNIL
Vous restez maître de la décision de notifier ou non l'autorité de contrôle.
Voir aussi
- RGPD - Conformité et gestion des données personnelles
- Politique de confidentialité - Documents téléchargeables
Cet article vous a été utile ?