Politique de gestion des incidents et violations de données à caractère personnel dans le secteur financier

La Politique de gestion des incidents et violations de données à caractère personnel dans le secteur financier définit les exigences applicables à l’identification, au signalement, au triage, à la classification, à l’évaluation, au confinement, à la notification, à la documentation, à la clôture et à l’amélioration à la suite d’incidents relatifs aux données à caractère personnel et de violations de données à caractère personnel dans les domaines d’application du PIMS du secteur financier. Elle s’applique lorsque l’organisation agit en tant que responsable du traitement, responsable conjoint du traitement, sous-traitant ou sous-traitant ultérieur dans un contexte du secteur financier, et couvre également les systèmes, applications, services, processus, fournisseurs, sous-traitants, sous-traitants ultérieurs et tiers qui traitent, stockent, transmettent, prennent en charge, accèdent à des données à caractère personnel ou les affectent autrement dans le champ d’application. La politique est explicitement conçue comme une variante de remplacement pour le secteur financier de PII15, et impose aux organisations de choisir soit PII15 soit PII15-FS pour le même champ d’application afin d’éviter les obligations, registres et travaux sur les éléments probants d’audit en double. L’objet de la politique est de garantir que les incidents et violations de données à caractère personnel sont traités de manière cohérente, rapide, licite, sécurisée et avec des éléments de preuve compatibles avec les exigences d’audit. REG10 — registre des incidents et violations de données à caractère personnel est établi comme principal élément de preuve, tandis que les registres d’appui relient l’enregistrement d’incident au modèle élargi des éléments de preuve du PIMS. REG01 est utilisé pour le contexte relatif au champ d’application, aux parties intéressées, au secteur, aux clients, aux contrats et au signalement. REG02 relie les activités de traitement, les catégories de données à caractère personnel, les catégories de personnes concernées, les finalités, les systèmes et les services affectés. REG03 consigne les mises à jour de la Déclaration d’applicabilité et de l’applicabilité des contrôles, y compris le remplacement de PII15 par PII15-FS. REG04 soutient les liens avec les risques relatifs à la vie privée, à la DPIA, au risque résiduel et au traitement des risques, tandis que REG08, REG09, REG11 et REG12 couvrent les interfaces avec les tiers, les transferts internationaux, la formation et les éléments de preuve d’audit ou d’action corrective. Sur le plan opérationnel, la politique exige que tout incident suspecté relatif aux données à caractère personnel dans le secteur financier, signalé ou détecté, soit enregistré dans REG10 dans un délai d’un jour ouvré à compter de sa réception, ou plus tôt lorsque des délais de notification au client ou de signalement peuvent être déclenchés. Les incidents doivent être classifiés dans les 24 heures suivant la réception comme événement non lié aux données à caractère personnel, incident suspecté relatif aux données à caractère personnel, incident confirmé relatif aux données à caractère personnel, violation confirmée de données à caractère personnel, incident relatif aux données à caractère personnel dans le secteur financier, incident majeur du secteur financier, cybermenace significative ou entrée en attente de classification. L’évaluation d’une violation de données à caractère personnel doit tenir compte des données à caractère personnel affectées, des personnes concernées, des systèmes, services, activités de traitement, sous-traitants, sous-traitants ultérieurs, transferts, risques, clients, contreparties et actions de remédiation. La politique exige également la préservation des éléments de preuve, le confinement dans des délais définis, la validation du rétablissement et des décisions de clôture documentées incluant la classification, la décision relative à la notification d’une violation de données à caractère personnel, l’état du confinement, l’état du rétablissement, le risque résiduel, les actions correctives et l’exhaustivité des éléments de preuve. La politique distingue les obligations du responsable du traitement, du responsable conjoint du traitement, du sous-traitant et du sous-traitant ultérieur. Les responsables du traitement doivent enregistrer les décisions relatives à la notification d’une violation de données à caractère personnel, préparer les éléments de preuve de notification à l’autorité de contrôle lorsque cela est requis et examiner la communication aux personnes concernées lorsqu’un risque élevé est identifié. Les sous-traitants et sous-traitants ultérieurs doivent évaluer les instructions du client, les obligations contractuelles de notification, les chaînes de notification en amont et les exigences d’acheminement des éléments de preuve, avec des enregistrements conservés dans REG08 et REG10. Les responsabilités des responsables conjoints du traitement doivent être coordonnées et documentées avant les échéances applicables de notification externe. Pour les incidents à fort impact relatifs aux données à caractère personnel dans le secteur financier et les cybermenaces significatives, le coordinateur de la réponse aux incidents doit évaluer les déclencheurs de signalement réglementaire propres au secteur financier et conserver les éléments de preuve de la décision dans REG10. La gouvernance, la mesure et l’amélioration sont intégrées au cycle de vie de la politique. Le responsable de la protection des données / responsable du PIMS doit examiner les incidents REG10 ouverts au moins chaque semaine jusqu’à leur clôture, et le Top Management doit recevoir une escalade pour les incidents confirmés à fort impact dans le secteur financier, les incidents majeurs ou les cybermenaces significatives dans les 24 heures suivant la classification. Les indicateurs comprennent les volumes mensuels d’incidents suspectés et confirmés, de violations, d’incidents majeurs du secteur financier et de cybermenaces significatives, ainsi que le respect des délais de notification des violations, des délais de signalement dans le secteur financier, du confinement, du rétablissement, de la validation de la restauration et de la performance de réponse des tiers. La politique exige en outre une revue annuelle, une revue post-incident après les événements majeurs, une revue d’audit interne, la gestion des exceptions, l’application au moyen des non-conformités REG12 et une formation de remédiation via REG11 lorsque des défaillances de sensibilisation ou de communication surviennent.