En bref :
• En vertu du RGPD, les entreprises sont tenues de signaler dans les 72 heures toute violation de la protection des données à l’autorité de contrôle compétente.
• Une gestion efficace des risques liés à la protection des données est nécessaire pour éviter de porter atteinte à la réputation de l’entreprise
• Les plateformes digitales d’alertes professionnelles, utilisées jusqu’à présent pour signaler toutes pratiques contraires au code de conduite de l’entreprise, offrent également la possibilité de centraliser le traitement des violations au RGPD et d’améliorer la manière dont les entreprises traitent ces cas.


La mise en place d’un dispositif d‘alertes professionnelles est à l’ordre du jour de nombreuses entreprises et régulateurs. Les plateformes digitales permettent aux lanceurs d’alerte de signaler anonymement des violations se produisant au sein d’une entreprise. Nous avons beaucoup traité de ce sujet sur notre blog et nous recommandons aux entreprises la mise en place d’une plateforme digitale d’alertes professionnelles.

Obligation de signaler les atteintes à la sécurité des données

Le RGPD, entrant en vigueur le 25 mai prochain, impose de nouvelles obligations aux entreprises dont une procédure de signalement claire en cas d’atteinte à la sécurité des données. Un tel incident devra être signalé sous 72 heures à l’autorité de contrôle compétente.

Une telle violation des données personnelles peut avoir de nombreuses causes. On pense à des attaques ciblées de l’extérieur pendant lesquelles des données sont volées. Cependant, des actes de négligence peuvent également engendrer des violations de données personnelles, lorsque par exemple des documents contenant des listes de clients sont égarés ou lorsqu’un e-mail contenant de telles informations est envoyé par erreur à un autre destinataire.

Diverses informations sont nécessaires lorsqu’il s’agit de signaler une violation de la protection des données à l’autorité compétente. Celle-ci doit notamment être assignée à une catégorie et une estimation des personnes impactées doit être réalisée. Il est par ailleurs obligatoire d’estimer les éventuelles conséquences, voir les dommages, dues à l’infraction. Dans le cas d’une condamnation, les mesures prises antérieurement pour protéger les données personnelles atténueront bien souvent les sanctions. Parmi les mesures possibles, on peut citer la surveillance des centres de données afin de protéger contre des accès non autorisés ou encore la surveillance systématique des opérations de traitement des données. Outre le signalement à l’autorité de contrôle, conformément à l’Article 34 du RGPD, les entreprises doivent également informer rapidement les personnes impactées par la fuite de données.

Le traitement des violations de données fait partie intégrante de la gestion des risques. Lorsque d’éventuelles atteintes à la protection des données sont détectées et signalées suffisamment rapidement, il est possible d’éviter, ou du moins d’atténuer, des dommages graves tels qu’une perte de réputation ou de lourdes sanctions. Prenons l’exemple du scandale Facebook relatif à la transmission abusive de données des utilisateurs. L’entreprise n’a pas activement signalé la violation des données et n’a pas du tout, ou seulement après une forte insistance, informé les usagers impactés. Facebook subit désormais une perte de réputation ayant une répercussion considérable sur la valeur de l’entreprise.

Une gestion efficace des signalements d’atteintes à la protection des données

Le signalement efficace et rapide des violations de la protection des données nécessite des structures et des procédés clairs. C’est précisément ce qu’offrent les outils digitaux, en permettant une gestion centralisée des signalements des violations du RGPD. Ils permettent non seulement d’enregistrer les incidents mais également de documenter tous les détails relatifs à la violation des données. Grâce à une plateforme digitale, des mesures supplémentaires de traitement des infractions peuvent être gérées par un personnel qualifié permettant ainsi d’améliorer la gestion des cas.

En coopération avec nos clients, nous constatons désormais que les systèmes d’alertes professionnelles, qui s’adressaient jusqu’à présent aux lanceurs d’alertes, représentent également un canal de signalement approprié pour les atteintes à la protection des données. Un tel système permet à l’auteur d’une violation de données de la signaler (le cas échéant anonymement) au Délégué à la Protection des données de l’entreprise. L’outil de gestion de cas intégré au système permet ensuite à la société de coordonner la suite de la procédure.

En définitive, une plateforme digitale d’alertes professionnelles permet de faire une pierre deux coups en satisfaisant d’une part les exigences de la protection des lanceurs d’alertes et en garantissant d’autre part un traitement des violations des données conforme au RGPD. C’est ça une gestion efficace des risques !


A quoi ressemble un système de lancement d’alerte professionnelle ? N’hésitez pas à me contacter pour plus d’information.