RGPD : Qui doit faire la notification de violation à la CNIL ?

Partager l'article :
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Bonjour à tous, c’est Manon DURAND, juriste santé au sein de l’entreprise Pharmaspecific. On se retrouve une nouvelle fois pour parler du Règlement Général sur la Protection des Données (le RGPD) qui est le texte de référence en matière de protection des données à caractère personnel et qui est entré en application au sein de l’Union Européenne le 25 mai 2018.

La question du jour est celle de savoir qui doit faire la notification de violation des données auprès de la CNIL. Pour rappel, une violation de données à caractère personnel c’est une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération ou encore la divulgation et l’accès non autorisé à des données à caractère personnel. Lorsqu’une telle violation de données à caractère personnel survient et qu’elle entraîne un risque pour les droits et libertés des personnes concernées, elle doit être notifiée à la CNIL dans un délai de 72h.

En pratique, comment cela se passe ? Si l’attaché de recherche clinique (ARC) se rend compte qu’une violation de données a caractère personnelles est intervenue, il en informe le chef de projet qui prendra directement contact avec le promoteur ou son DPO, si celui-ci a été désigné, pour que celui-ci fasse la notification de violation à la CNIL. C’est donc le promoteur ou son DPO qui sera chargé de cette notification de la violation.

Lorsqu’un sous-traitant travaille avec le responsable de traitement, avec le promoteur, il en va de même : s’il existe une violation des données à caractère personnel chez le sous-traitant, il doit en informer directement le promoteur ou son DPO qui sera chargé de faire la notification de la violation des données à la CNIL.

En conclusion, la personne chargée de faire cette notification de violation de données à la CNIL, dans le délai de 72h c’est le promoteur ou son DPO s’il a été désigné.

Rapprochez vous du site de la CNIL pour savoir les modalités de notification de violation des données à la CNIL, sachant que lorsque la violation n’entraîne pas de risques pour les droits et libertés des personnes concernées, vous devez simplement faire une documentation en interne, si la violation entraîne un risque il faut faire une documentation en interne et informer la CNIL dans un délai de 72h et enfin, si le risque est élevé, vous devez documenter en interne, faire une notification à la CNIL et informer les personnes concernées au plus tôt.

Voilà, c’est fini pour cette nouvelle vidéo, j’espère que celle-ci vous a plu. Si c’est le cas n’hésitez pas, comme d’habitude, à vous abonner à notre chaîne, à aimer cette vidéo et vous retrouverez en barre d’information les informations sur nos prestations et notamment la veille juridique mensuelle et le conseil juridique en recherche clinique. Quant à moi je vous retrouve bientôt pour une prochaine vidéo.

www.pharmaspecific-training.com

0 0 votes
Évaluation de l'article
S’abonner
Notification pour
guest
0 Commentaires
Commentaires en ligne
Afficher tous les commentaires