Gérer les violations de données
HOPEX Privacy Management permet au responsable de traitement de conserver un registre des violations des données, comme la loi l'impose.
HOPEX Privacy Management permet également de définir les éléments suivants :
• évaluer la gravité du point de vue de la personne concernée
• à partir de l'évaluation de la gravité, décider qui doit être notifié de la violation
• dans le cas d'un risque associé à la violation, l'autorité de contrôle doit en être informée
• lorsque le risque est élevé, la personne concernée doit en être informée
• identifier les mesures correctives sous forme de plans d'action
Ces actions peuvent être suivies par les autres solutions HOPEX.Déclarer une violation de données
Toute personne peut saisir une violation de données dans HOPEX Privacy Management.
Exemple de violation de données : Un employé accède aux données auxquelles il n'est pas autorisé à accéder.
Pour saisir une violation de données :
1. Dans le menu de navigation sélectionnez Violations et cliquez sur Nouveau.
2. Décrivez la violation de données :
• Date de détection
La date de détection est importante puisque vous avez 72 heures pour collecter, évaluer et signaler la violation. Voir Voir le temps écoulé depuis la détection de la violation.• Dénonciateur : partie prenante qui signale l'incident
• Date de la violation
• Nombre de personnes impactées
• Source : réclamation externe, contrôle interne, alerte interne, autre
• Catégories de données impliquées
Pour plus de détails, voir Définir les catégories de données.• Personnes concernées impactées
Pour plus de détails, voir Définir les catégories de personne concernée.Une fois la violation créée, vous pouvez fournir des informations sur :
• Le périmètre de la violation
• l'évaluation de la violation : voir Évaluer une violation de données
• la notification de la violation : voir Notifier une violation de données
Définir le périmètre de la violation de données
Vous pouvez décrire le périmètre de la violation de données, autrement dit les entités juridiques, les départements et les traitements qui sont touchés par la violation de données.
Le périmètre de la violation de données détermine également qui peut voir les informations de la violation.
Évaluer une violation de données
Pour évaluer une violation de données :
1. Dans le menu de navigation, cliquez sur Violations.
2. Sélectionnez une violation de données et dans sa page de propriétés, sélectionnez l'onglet Évaluation de la violation.
Ici vous pouvez :
• décrire les conséquences de la violation
• créer des mesures correctives
• désigner une personne responsable de la gestion et du suivi de la violation de données
Pour plus de détails, voir Planifier des mesures correctives.Planifier des mesures correctives
Vous devez prendre des mesures appropriées afin d'empêcher les violations de données.
Pour créer des mesures correctives :
1. Dans le menu de navigation, cliquez sur Violations.
2. Sélectionnez une violation de données et dans sa page de propriétés, sélectionnez l'onglet Évaluation de la violation.
3. Sous Mesures correctives, cliquez sur Nouveau.
4. Saisissez un commentaire pour décrire comment remédier à la violation de données.
5. Spécifiez le statut de la mesure corrective :
• Mis en œuvre
• En cours
• Prévu
Vous pouvez modifier le statut par la suite.6. Cliquez sur OK.
Notifier une violation de données
Lorsqu'une violation de données est constatée, il peut être nécessaire d'informer les autorités de contrôle ou les personnes concernées. Dans ce cas il convient de détailler la façon dont est gérée la notification.
Pour décrire une notification de violation de données :
1. Dans le menu de navigation, cliquez sur Violations.
2. Sélectionnez une violation de données et dans sa page de propriétés, sélectionnez l'onglet Notification de la violation.
Vous pouvez indiquer si la violation de données exige :
• de notifier les personnes concernées
Saisissez une Date de notification des personnes concernées.• de notifier l'autorité de contrôle
Spécifiez :• Les autorités de contrôles notifiées
• La date de notification auprès des autorités
Voir le temps écoulé depuis la détection de la violation
Suite à la détection d'une violation, vous disposez d'un certain nombre d'heures pour agir et faire le signalement aux autorités ou personnes concernées.
HOPEX Privacy Management calcule automatiquement cette information pour vous.
Pour voir le nombre d'heures écoulées depuis la détection de la violation :
1. Dans le menu de navigation, cliquez sur Violations.
2. Dans la liste des violations, sélectionnez celle qui vous intéresse et consultez la colonne Temps écoulé (heures) depuis la découverte de la violation.
Dupliquer des violations de données
Vous pouvez dupliquer des violations de données.
Pour ce faire :
1. Dans le menu de navigation, cliquez sur Violations.
2. Dans la liste des violations, sélectionnez celle qui vous intéresse et cliquez sur Dupliquer.
3. Dans l'assistant qui apparaît, sélectionnez les sections à dupliquer et cliquez sur OK.
Documenter la violation de données
Pour décrire précisément la violation de données :
1. Dans le menu de navigation, cliquez sur Violations.
2. Dans la fenêtre de propriétés d'une violation, sélectionnez la page Pièces jointes.
3. Déposez ou ajouter un document.