BG Beter Geregeld ICT
AVG & privacy · 2 min leestijd · 02 novembre 2025

Violation de données : quand signaler, quand non, dans les 72 heures

Tous les incidents ne sont pas des violations de données. Toutes les violations ne doivent pas être signalées à l'autorité. Voici l'arbre de décision et un modèle de notification prêt à l'emploi.

Une violation de données (breach) est une atteinte à la sécurité entraînant la destruction, la perte, la modification, la divulgation ou l'accès non autorisé à des données personnelles. Quand faut-il la signaler ?

Arbre de décision

  1. S'agit-il d'une violation de données ? En cas de doute : oui.
  2. Risque pour les personnes concernées ? Données rendues publiques ? Préjudice financier possible ? Risque de vol d'identité ?
  3. Risque faible (ex. appareil chiffré perdu) : pas de notification à l'autorité, mais enregistrement interne obligatoire dans le journal des incidents.
  4. Risque significatif : notification à l'autorité de protection des données dans les 72 heures.
  5. Risque élevé pour les personnes concernées : informer également les personnes concernées directement.

Que signaler ?

  • La nature de la violation.
  • Les catégories et le nombre de personnes concernées.
  • Les catégories et le nombre de données personnelles impliquées.
  • Les conséquences de la violation.
  • Les mesures prises ou envisagées.
  • Les coordonnées du DPO ou du point de contact.

Le compte à rebours de 72 heures

Le délai court à partir du moment où vous avez eu connaissance de la violation — et non à partir du moment où elle s'est produite. Le week-end est inclus. Une notification partielle est possible, avec complément ultérieur.

Où signaler ?

autoriteitpersoonsgegevens.nl — formulaire de notification en ligne des violations de données. Conservez une copie.

Que faire au sein de l'organisation ?

  • Mobiliser l'équipe : responsable sécurité, direction, communication.
  • Enquêter : que s'est-il passé exactement ?
  • Confinement : colmater la brèche.
  • Documentation forensique : preuves pour l'enquête.
  • Préparer la communication : interne, externe, médias.

Voir aussi : mettre en place un journal des incidents, réponse aux incidents.

Onderwerpen

#avg #datalek #incident #ap

Volledige gids: Cumplimiento GDPR para pymes: el mínimo práctico

Dit artikel is onderdeel van onze uitgebreide AVG & privacy-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

AVG & privacy

Conformité RGPD pour PME : le minimum pratique

Le RGPD ne nécessite pas un budget de 10 000 € ni un DPO en dessous d'une certaine taille. Voici ce que chaque PME doit avoir en place — basé sur ce que l'autorité de contrôle vérifie réellement.

2 min
AVG & privacy

Journalisation des adresses IP sous le RGPD : pseudonyme, donnée personnelle, et ce qui est permis

Une adresse IP est une donnée personnelle au sens du RGPD. Les journaux de sécurité en ont souvent besoin pendant des semaines ou des mois. Comment concilier cela avec les principes de conservation des données ?

2 min
AVG & privacy

Durées de conservation par catégorie de données dans les PME

Combien de temps conserver les données clients, candidatures, factures ou images CCTV ? Voici les principales catégories dans un tableau récapitulatif, avec la source de chaque délai.

2 min
AVG & privacy

Consentement marketing : e-mail, WhatsApp, retargeting — ce qui est encore autorisé

Newsletter, e-mails promotionnels, pixels de retargeting — chacun nécessite une base de consentement valide. Voici les règles concrètes par canal.

2 min
AVG & privacy

Droits des personnes concernées : accès, rectification, suppression — une procédure opérationnelle

Un client veut consulter ses données, ou les faire supprimer. Vous avez 30 jours. Voici la procédure qui fonctionne sans qu'une demande ne vous prenne une demi-semaine.

2 min
AVG & privacy

Sous-traitants hors UE : ce que l'arrêt Schrems II exige toujours

Vous utilisez AWS, Google ou Microsoft ? Une partie de vos données transite par les États-Unis. Depuis Schrems II, ce n'est plus anodin. Voici ce qui fonctionne concrètement.

2 min
← Alle artikelen in "AVG & privacy"