Notification d'une fuite de données

La notification d’une fuite de données au COC passe par le Formulaire de notification Databreach, qui, une fois complété, nous est transmis par e-mail à l’adresse info(at)organedecontrole.be. Le modèle de formulaire du COC peut également être consulté en REGPOL.

Vous pouvez joindre des annexes au formulaire de notification (maximum 20 MB pour l’ensemble constitué par les annexes et le formulaire de notification). Ces annexes peuvent être établies dans une des trois langues nationales ou en anglais.

Le COC vous transmettra toujours un accusé de réception de votre notification, qui contiendra le numéro attribué à la notification. Veuillez toujours préciser ce numéro de notification lors de vos contacts avec le COC.

Veillez à ce que votre notification contienne toujours une description claire et complète (des faits) de l’incident, des implications et des mesures correctives prises. Faites clairement la distinction entre les mesures préventives et les mesures correctives. Si la fuite de données implique un responsable du traitement commun, une seule notification suffit.

Une atteinte à la sécurité (« fuite de données ») ne doit pas toujours être notifiée au COC. L’obligation de notification ne trouve pas application lorsqu’il est probable que l’atteinte n’induit aucun risque pour les droits et libertés des personnes concernées.

Cependant, chaque service de police doit tenir un registre des atteintes à la sécurité en vertu de l’article 33, 5^e alinéa du RGPD et de l’article 61 §6 de la LPD. Ce registre ne se limite donc pas aux atteintes dont la notification est obligatoire. Pour chaque atteinte, ce registre contiendra au moins une description des faits, des implications et des mesures correctives prises. Ce registre doit permettre au COC de contrôler le respect de l’obligation de notification des fuites de données.