Registre de notification de violations à la CNIL - RGPD

Registre format A4 en dos carré piqué de 40 pages réservé aux délégués à la protection des données et aux responsables de traitement des entreprises.

A quoi sert ce registre ?

Dans le cadre du Règlement Général sur la Protection des Données (aussi appelé RGPD ou GPDR), ce registre permet à votre responsable de traitement / DPO de consigner les notifications que vous devez émettre à la CNIL en cas de violation du RGPD.

A quel moment remplir ce registre ?

Ce registre est conçu pour être rempli dès lors que votre société rencontre une quelconque violation du RGPD, ou en cas de piratage / manipulation / vol de vos données informatiques par une entité malveillante.

Que dit la loi ?

Extrait de l'article 33 paragraphe 1

En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

Extrait de l'article 33 paragraphe 2

Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

Extrait de l'article 33 paragraphe 3

La notification visée au paragraphe 1 doit, à tout le moins:

• a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;
• b) communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
• c) décrire les conséquences probables de la violation de données à caractère personnel;
• d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Extrait de l'article 33 paragraphe 4

Si, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

Extrait de l'article 33 paragraphe 5

Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l'autorité de contrôle de vérifier le respect du présent article.