Gérer les violations de données
HOPEX Privacy Management permet au responsable de traitement de conserver un registre des violations des données, comme la loi l'impose.
HOPEX Privacy Management permet également de définir les éléments suivants :
• évaluer la gravité du point de vue de la personne concernée
• à partir de l'évaluation de la gravité, décider qui doit être notifié de la violation
• dans le cas d'un risque associé à la violation, l'autorité de contrôle doit en être informée
• lorsque le risque est élevé, la personne concernée doit en être informée
• identifier les mesures correctives sous forme de plans d'action
Ces actions peuvent être suivies par les autres solutions HOPEX.Déclarer une violation de données
Toute personne peut saisir une violation de données dans HOPEX Privacy Management.
Exemple de violation de données : Un employé accède aux données auxquelles il n'est pas autorisé à accéder.
Pour saisir une violation de données :
1. Dans la barre de navigation, sélectionnez Registres > Violations de données et cliquez sur Nouveau.
2. Décrivez la violation de données :
• Nombre de personnes impactées
• Personnes concernées impactées
Pour plus de détails, voir Définir les catégories de personne concernée.• Catégories de données impliquées
Pour plus de détails, voir Définir les catégories de données.• Date de la violation
• Date de détection
La date de détection est importante puisque vous avez 72 heures pour collecter, évaluer et signaler la violation. Voir Voir le temps écoulé depuis la détection de la violation.• Dénonciateur : partie prenante qui signale l'incident
• Source : réclamation externe, contrôle interne, alerte interne, autre
Une fois la violation créée, vous pouvez fournir des informations sur :
• Le périmètre de la violation
• l'évaluation de la violation : voir Évaluer une violation de données
• la notification de la violation : voir Notifier une violation de données
Définir le périmètre de la violation de données
Vous pouvez décrire le périmètre de la violation de données, autrement dit les entités juridiques, les départements et les traitements qui sont touchés par la violation de données.
Le périmètre de la violation de données détermine également qui peut voir les informations de la violation.
Évaluer une violation de données
Pour évaluer une violation de données :
1. Dans le barre de navigation, cliquez sur Registres > Violations de données.
2. Sélectionnez une violation de données et dans ses propriétés, sélectionnez la page Évaluation de la violation.
Ici vous pouvez :
• décrire les conséquences de la violation
• créer des mesures correctives
• désigner une personne responsable de la gestion et du suivi de la violation de données
Pour plus de détails, voir Planifier des mesures correctives.Planifier des mesures correctives
Vous devez prendre des mesures appropriées afin d'empêcher les violations de données.
Pour créer des mesures correctives :
1. Dans le barre de navigation, cliquez sur Registres > Violations de données.
2. Sélectionnez une violation de données et dans ses propriétés, sélectionnez la page Évaluation de la violation.
3. Sous Mesures correctives, cliquez sur Nouveau.
4. Saisissez un commentaire pour décrire comment remédier à la violation de données.
5. Spécifiez le statut de la mesure corrective :
• Prévu
• Mis en œuvre
• En cours
Vous pouvez modifier le statut par la suite.6. Cliquez sur OK.
Notifier une violation de données
Lorsqu'une violation de données est constatée, il peut être nécessaire d'informer les autorités de contrôle ou les personnes concernées. Dans ce cas il convient de détailler la façon dont est gérée la notification.
Pour décrire une notification de violation de données :
1. Dans le barre de navigation, cliquez sur Registres > Violations de données.
2. Sélectionnez une violation de données et dans ses propriétés, sélectionnez la page Notification de la violation.
Vous pouvez indiquer si la violation de données exige :
• de notifier les personnes concernées
Saisissez une Date de notification des personnes concernées.• de notifier l'autorité de contrôle
Spécifiez :• Les autorités de contrôles notifiées
• La date de notification auprès des autorités
Voir le temps écoulé depuis la détection de la violation
Suite à la détection d'une violation, vous disposez d'un certain nombre d'heures pour agir et faire le signalement aux autorités ou personnes concernées.
HOPEX Privacy Management calcule automatiquement cette information pour vous.
Pour voir le nombre d'heures écoulées depuis la détection de la violation :
1. Dans le barre de navigation, cliquez sur Registres > Violations de données.
2. Dans la liste des violations, sélectionnez celle qui vous intéresse et consultez la colonne Temps écoulé (heures) depuis la découverte de la violation.
Dupliquer des violation de données
Vous pouvez dupliquer des violations de données.
Pour ce faire :
1. Dans le barre de navigation, cliquez sur Registres > Violations de données.
2. Dans la liste des violations, sélectionnez celle qui vous intéresse et cliquez sur Dupliquer.
3. Dans l'assistant qui apparaît, sélectionnez les sections à dupliquer et cliquez sur OK.