Notification d'une fuite de données

En vertu du RGPD (article 33) et de la LPD (article 61), les services de police sont dans l’obligation de notifier au COC les atteintes aux données à caractère personnel ou les atteintes à la sécurité. Cette obligation de notification implique que les services de police doivent, dans les 72 heures et sans retard déraisonnable, procéder à une notification auprès du COC dès qu’il existe un risque pour les droits et libertés fondamentaux des personnes concernées.

Comment notifier une fuite de données ?

La notification d’une fuite de données au COC passe par le Formulaire de notification COC Databreach, qui, une fois complété, nous est transmis par e-mail à l’adresse info(at)organedecontrole.be. Le modèle de formulaire du COC peut également être consulté en REGPOL.

Vous pouvez joindre des annexes au formulaire de notification (maximum 20 MB pour l’ensemble constitué par les annexes et le formulaire de notification). Ces annexes peuvent être établies dans une des trois langues nationales ou en anglais.

Le COC vous transmettra toujours un accusé de réception de votre notification, qui contiendra le numéro attribué à la notification. Veuillez toujours préciser ce numéro de notification lors de vos contacts avec le COC.

Veillez à ce que votre notification contienne toujours une description claire et complète (des faits) de l’incident, des implications et des mesures correctives prises. Faites clairement la distinction entre les mesures préventives et les mesures correctives. Si la fuite de données implique un responsable du traitement commun, une seule notification suffit.

Jordan Harrison 40Xgdxbfyxm Unsplash

Registre et obligation de notification

Une atteinte à la sécurité (« fuite de données ») ne doit pas toujours être notifiée au COC. L’obligation de notification ne trouve pas application lorsqu’il est probable que l’atteinte n’induit aucun risque pour les droits et libertés des personnes concernées.

Cependant, chaque service de police doit tenir un registre des atteintes à la sécurité en vertu de l’article 33, 5e alinéa du RGPD et de l’article 61 §6 de la LPD. Ce registre ne se limite donc pas aux atteintes dont la notification est obligatoire. Pour chaque atteinte, ce registre contiendra au moins une description des faits, des implications et des mesures correctives prises. Ce registre doit permettre au COC de contrôler le respect de l’obligation de notification des fuites de données.

Keyboard 895556 1920