Pour vous accompagner dans l’usage de votre outils Madis, l’interface dédiée au pilotage de votre mise en conformité RGPD, tous les mois nous vous apportons un éclairage sur une fonctionnalité.

Ce mois-ci, ce sera un focus sur le registre des violations de données, onglet que l’on retrouve à gauche dans le menu (le 4me registre) après Traitement, Sous-traitant et Demandes.

 

Pourquoi un registre violation de données ?

L’article 33 du RGPD précise les attendus au RT (Responsable de Traitement) : la notification dans les 72h, l’obligation du sous-traitant d’informer le RT et la documentation (le registre) qui doit être mis à disposition à l’autorité de contrôle sur sa demande.

Cette documentation sera à renseigner dans l’outil Madis.

Pratique : La CNIL propose une fiche synthèse pour savoir comment notifier une violation de données.

Dans quel cas, sommes-nous dans une violation de données ?

Dès lors où l’on constate un incident de sécurité, d’origine malveillante ou non, intentionnel ou non, et qui risque de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles est une violation de données.

Comment renseigner votre registre ?

Lorsque vous cliquez sur Violation, la première fenêtre affiche la liste des violations recensées dans votre collectivité.

Pour enregistrer une nouvelle violation, cliquez sur « Nouvelle Violation » en haut à gauche.

La fenêtre est divisée en deux parties : Informations sur la violation (partie bleue de gauche) et Conséquences de la violation (partie verte de droite). Hormis les 3 derniers champs, l’ensemble est constitué de champs obligatoires pour valider votre documentation dans ce registre. La date à renseigner en premier est la date de la constatation de la violation qui peut être différente de la date de la violation elle-même. Dans les menus déroulant plusieurs choix/critères peuvent être sélectionnés pour documenter la violation

Tous les autres champs seront le reflet de l’éventuelle notification envoyée à la CNIL. Pour information dans le cas ou une violation de données est indiquée par votre sous-traitant, celui-ci doit vous transmettre les informations demandées dans le registre via son DPO.

Et pour conclure, n’oubliez pas de cliquer sur « Soumettre » pour valider votre saisie.