L'Agence andorrane de protection des données rappelle aux responsables le délai de 72 heures pour notifier les violations
L'APDA publie des directives sur le signalement des violations de données personnelles dans les 72 heures en cas de risques pour les droits, dans le contexte d'une possible cyberattaque contre un centre commercial.
Points cles
- Notifier l'APDA dans les 72 heures pour les violations à risque, en détaillant nature, données et impacts.
- Les violations incluent les erreurs humaines comme les e-mails mal envoyés, les appareils perdus ou l'accès non autorisé.
- Contenir rapidement la violation, documenter la réponse ; notifier les individus en cas de risque élevé.
- Rappel suite à une cyberattaque présumée contre un centre commercial affectant fournisseurs et clients.
L'Agence de protection des données d'Andorre (APDA) a publié des directives rappelant aux responsables de traitement leur obligation de notifier les violations de sécurité dans les 72 heures, sauf si l'incident est peu susceptible de présenter un risque pour les droits et libertés des personnes.
Une violation de données personnelles résulte de tout événement accidentel ou illicite entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès à de telles données, pouvant affecter leur confidentialité, leur intégrité ou leur disponibilité. L'APDA a souligné que ces incidents vont au-delà des cyberattaques et incluent les erreurs humaines, la perte de documents ou d'autres menaces pour la sécurité des données.
Les exemples comprennent l'envoi d'e-mails contenant des détails personnels au mauvais destinataire, l'absence de mise en copie cachée lors du partage d'informations avec plusieurs parties, la perte ou le vol d'appareils, l'accès non autorisé à des bases de données ou dossiers partagés, la publication inappropriée de données personnelles, ou les modifications ou suppressions accidentelles. L'indisponibilité temporaire ou permanente des données entre également dans cette catégorie.
Les responsables de traitement doivent signaler les violations à l'APDA dans les 72 heures si elles présentent un risque probable, en fournissant des détails sur la nature de l'incident, les types de données affectées et les conséquences potentielles. Ils doivent agir rapidement pour contenir la violation, évaluer son impact, restaurer l'accès et documenter la réponse. Les incidents à haut risque nécessitent une notification directe aux personnes concernées dans un langage clair. Le défaut de notification quand il est requis constitue une infraction grave, pouvant entraîner des sanctions.
L'APDA a publié ce rappel dans le contexte de rapports faisant état d'une possible cyberattaque contre un centre commercial bien connu, dont les premières informations suggèrent qu'elle aurait pu affecter de nombreux fournisseurs et clients. Aucune information supplémentaire sur l'ampleur ou le contexte de l'incident n'a été divulguée.
Sources originales
Cet article a ete agrege a partir des sources catalanes suivantes :