Politique de gestion des incidents et violations de données à caractère personnel

La Politique de gestion des incidents et violations de données à caractère personnel définit la manière dont une organisation identifie, signale, trie, évalue, confine, notifie, documente, clôture et améliore le traitement des incidents relatifs aux données à caractère personnel et des violations de données à caractère personnel dans le domaine d’application du système de management des informations relatives à la vie privée. Son objet déclaré est de garantir que les incidents et violations sont traités de manière cohérente, rapide, licite, sécurisée et avec des éléments de preuve compatibles avec les exigences d’audit. La politique s’applique dans les contextes de responsable du traitement, responsable conjoint du traitement, sous-traitant et sous-traitant ultérieur, et couvre les systèmes, applications, services, processus, fournisseurs, sous-traitants, sous-traitants ultérieurs et tiers qui traitent, stockent, transmettent, soutiennent, consultent ou affectent autrement les données à caractère personnel dans le domaine d’application du PIMS. Une caractéristique centrale de la politique est son modèle intégré d’éléments de preuve. REG10 — Registre des incidents et violations de données à caractère personnel est l’élément de preuve principal pour la gestion des incidents et des violations, tandis que les registres de support fournissent le contexte et la traçabilité. REG01 fournit le contexte relatif au champ d’application, aux obligations légales, contractuelles, sectorielles, relatives aux clients et à l’information. REG02 rattache les activités de traitement affectées, les catégories de données à caractère personnel, les catégories de personnes concernées, les finalités et les systèmes. REG04 soutient les liens avec les risques relatifs à la vie privée, la DPIA et le risque résiduel. REG08 consigne les interfaces d’incident avec les sous-traitants, sous-traitants ultérieurs, clients, fournisseurs et tiers. REG09 est utilisé lorsque les incidents affectent des traitements transfrontaliers, REG11 soutient les éléments de preuve relatifs à la formation et aux compétences, et REG12 consigne les éléments de preuve relatifs à l’audit, aux non-conformités, aux actions correctives et à l’amélioration. Cette structure contribue à éviter que les enregistrements d’incident soient isolés du PIMS plus large. La politique établit des exigences détaillées relatives à la préparation, à la réception, à la classification, à l’évaluation d’une violation de données à caractère personnel, au confinement, au rétablissement, à la notification, aux communications, à la protection des éléments de preuve et aux enseignements tirés. Les incidents suspectés relatifs aux données à caractère personnel doivent être enregistrés rapidement, chaque incident suspecté signalé ou détecté étant saisi dans REG10 dans un délai d’un jour ouvrable à compter de sa réception, ou plus tôt lorsque des délais de notification ou d’information du client peuvent être déclenchés. Le triage technique des événements de sécurité impliquant des données à caractère personnel doit être achevé dans les 24 heures suivant la détection, et chaque entrée REG10 doit être classée comme événement sans données à caractère personnel, incident suspecté relatif aux données à caractère personnel, incident confirmé relatif aux données à caractère personnel ou violation confirmée de données à caractère personnel dans les 24 heures suivant la réception, sauf si le motif de la classification en attente est documenté. Pour l’évaluation d’une violation de données à caractère personnel, la politique exige l’identification des activités de traitement affectées, des catégories de données à caractère personnel, des catégories de personnes concernées, des systèmes, des sous-traitants, des sous-traitants ultérieurs, des lieux de transfert et des risques relatifs à la vie privée avant la finalisation des décisions de notification. Les obligations de notification et de communication sont séparées par rôle. Pour les responsables du traitement, la politique exige des décisions documentées de notification réglementaire pour chaque violation confirmée de données à caractère personnel sans retard indu, avec la notification, la justification de l’absence de notification ou la justification du retard conservées dans REG10. Lorsque la communication aux personnes concernées affectées est déclenchée, la politique exige que le contenu, le public, le calendrier, la méthode de fourniture et les éléments de preuve d’approbation soient enregistrés. Pour les sous-traitants et sous-traitants ultérieurs, la politique exige une notification aux responsables du traitement affectés, aux clients, aux sous-traitants en amont ou aux canaux contractuels approuvés sans retard indu et dans les délais contractuels applicables. Pour les incidents à fort impact relatifs aux données à caractère personnel, elle exige également l’évaluation des déclencheurs d’information légaux, sectoriels, financiers, de cybersécurité, contractuels, clients et destinataires de services, le cas échéant. La gouvernance, la mesure et l’amélioration sont intégrées au processus. Le responsable de la protection des données / responsable du PIMS est propriétaire du processus de gestion des incidents et des violations et doit veiller à ce que REG10 soit maintenu jusqu’à la clôture. Le coordinateur de la réponse aux incidents gère la réception, le triage, le workflow de confinement, le suivi du statut, la clôture et les enseignements tirés. La sécurité de l’information pilote l’enquête technique, le confinement, l’éradication, le rétablissement, la préservation des éléments de preuve et l’analyse de la cause racine lorsque des systèmes ou des contrôles de sécurité sont concernés. Le top management reçoit les escalades relatives aux incidents confirmés à fort impact relatifs aux données à caractère personnel dans les 24 heures suivant la classification et examine les incidents à fort impact, les violations notifiables, les actions correctives en retard et les impacts substantiels lors de la revue de direction. Les indicateurs comprennent les volumes d’incidents, les délais de classification et de confinement, la ponctualité des notifications, l’ancienneté des actions correctives, la performance de réponse des tiers et l’achèvement des exercices. La politique exige également une revue annuelle, une revue post-incident après les incidents à fort impact ou les violations confirmées, ainsi qu’une revue annuelle d’audit interne de la mise en œuvre.