URSSAF et divulgation de données personnelles d’usagers : rappel des démarches pour notifier une violation de données personnelles

L’URSSAF a publié sobrement sur son site le 2 mai qu’un incident informatique s'est produit au sein de l'Urssaf : certains travailleurs indépendants (artisans commerçants et professions libérales) ont eu accès, à partir de leur compte en ligne, à des informations personnelles d’autres usagers.

C’est l’occasion de rappeler les règles en matière de violation de données personnelles.

Tout d’abord, rappelons que le responsable du traitement et le sous-traitant doivent mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté à la nature des données traitées.

Ensuite, rappelons que la violation de données personnelles se définit comme une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données;

En qualité de responsable des traitements, les règles suivantes s’appliquent :

1./ Documenter en interne l’incident en déterminant :

  • la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;
  • communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
  • décrire les conséquences probables de la violation de données à caractère personnel;
  • décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel

2./ Dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, notifier une telle violation à la CNIL.

3./ Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement doit communiquer la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

L’URSSAF a donc en application des articles 33 et 34 du RGPD procédé à ces mesures.

Pour rappel, les notifications de violation de données se font en ligne à l’adresses suivante :

https://notifications.cnil.fr/notifications/index

Mathieu MARTIN


Mentions légales - Données personnelles