Le 14 octobre 2021, une formation en ligne a eu lieu sur le thème « Que faire en cas de fuites d’informations ? », organisée par l’Association du capital industriel en Bulgarie et CTeam Group. Des participants préinscrits, dont la plupart étaient des représentants d’entreprises privées, y ont pris part via une plateforme à distance.
Y sont intervenus des représentants de la Commission de protection des données personnelles : le président Ventsislav Karadzhov, le membre de la Commission Tsanko Tsolov et des agents de la Direction de l’activité d’analyse juridique, d’information et de contrôle. Le but de la formation était de passer en revue l’action de l’ensemble des acteurs du système de protection des données personnelles en cas de violation des données : responsables du traitement, sous-traitants, autorité de contrôle (CPDP), particuliers.
L’organisation, la coordination et la tenue de formations dans le domaine de la protection des données personnelles relèvent des principales compétences et missions de la CPDP. Des formations sont organisées à la fois sur le principe territorial et sur le principe sectoriel. Elles tiennent compte des intérêts et des problèmes spécifiques du public.
Le président de la CPDP, Ventsislav Karadzhov, a ouvert le séminaire en présentant les priorités de la CPDP en matière de protection des données personnelles et, plus particulièrement, les priorités liées aux violations des données.
Les participants ont été informés de ce que l’on entend par « sécurité du traitement des données personnelles », de ce que représentent les violations des données et des types de violations. On a évoqué les démarches à entreprendre par les RT en cas de violations des données. Il a été expliqué pourquoi la notification au titre de l’article 33 du Règlement (UE) 2016/679 devrait être considérée comme un outil important, susceptible de renforcer le respect des exigences de protection des données personnelles, énoncées dans le Règlement. Ont été abordées les conditions qui exigent une notification à l’autorité de contrôle en cas de violation de la sécurité des données personnelles, ainsi que les obligations des responsables du traitement, des sous-traitants et des responsables conjoints. Dans une présentation séparée, on a examiné les conditions qui exigent la communication aux personnes concernées, conformément à l’art. 34 du règlement (UE) 2016/679 qui régit les conditions exigeant ou permettant la communication aux personnes concernées d’une violation des données personnelles. La forme et le contenu minimal de la communication aux personnes concernées par la violation ont été indiqués. On a attiré l’attention sur le fait que le comportement correct du RT est d’ouvrir l’information aux personnes concernées, car la personne physique informée peut également prendre des mesures pour compléter celles déjà prises par le RT.
Les mesures techniques et organisationnelles pour minimiser la probabilité de survenance d’une violation ont été discutées, ainsi que les mesures à prendre en cas de violations de données.
Lors du séminaire, on a présenté le formulaire de notification d’une violation des données, adopté par la CPDP conformément à l’art. 33 du règlement (UE) 2016/679 ou de l’art. 67 de la LPDP. L’utilisation de ce formulaire n’est pas obligatoire, mais il est recommandé de le remplir afin d’éviter des demandes ultérieures d’informations complémentaires et d’uniformiser les notifications arrivant à la CPDP. Le formulaire est publié sur le site de la Commission.
L’évaluation du risque qui survient à la suite d’une violation des données est un facteur important en ce qui concerne les actions ultérieures à entreprendre par l’administrateur et par la CPDP. Dans deux présentations distinctes, on a évoqué les thèmes de l’évaluation du risque, effectuée par le responsable du traitement, et de l’évaluation du risque, effectuée par la CPDP à la réception de la notification d’une violation. Les participants à la formation se sont familiarisés avec la méthodologie de la CPDP portant sur l’évaluation du risque, qui est un document interne destiné à faciliter le traitement des notifications de violations des données personnelles arrivant à la CPDP. Il a été indiqué que la bonne évaluation du risque est essentielle pour les actions ultérieures de la CPDP en ce qui concerne le traitement de la notification.
La question de la documentation de chaque violation de la sécurité des données personnelles a été examinée, y compris la documentation des faits liés à la violation, de ses conséquences et des mesures prises pour y remédier. Chaque responsable de traitement doit disposer de plans et de procédures lui permettant de faire face aux violations éventuelles des données et d’en rendre compte, ainsi que de personnes chargées du processus de récupération.
Les participants à la formation ont pris connaissance du processus administratif au sein de la CPDP, déclenché par la réception d’une notification de violation : la procédure de son traitement, les outils utilisés, la prise de décision, les effets.
A l’issue des dix présentations, lors desquelles on a présenté les principaux concepts, les acteurs et leurs obligations en cas de violation des données, dans un panel séparé, on a examiné des cas de figure de différents types de violations, les réactions du responsable du traitement, l’envoi d’une notification de violation et les actions de l’autorité de contrôle à la suite de l’évaluation du risque pour les personnes concernées. Les participants au séminaire ont eu la parole pour poser des questions et des explications compétentes leur ont été fournies.
