L’article 4.12) du RGPD définit une violation de données à caractère personnel comme une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

Il s’agit de tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles.

Exemples :

• suppression accidentelle de données médicales conservées par un établissement de santé et non sauvegardées par ailleurs ;
• perte d’une clef USB non sécurisée contenant une copie de la base clients d’une société ;
• introduction malveillante dans une base de données scolaires et modification des résultats obtenus par les élèves.

Les obligations des responsables du traitement concernant les violations de données personnelles, et notamment leur notification à la CNIL et aux personnes concernées, sont définies aux articles 33 et 34 du RGPD.

La CNIL détaille la violation de données : https://www.cnil.fr/fr/les-violations-de-donnees-personnelles

La protection des données personnelles est un sujet important pour l’Université Poitiers. Conformément au RGPD l’établissement tient un registre pour traiter et documenter, en interne, les violations de données.

Vous pouvez nous signaler une violation en contactant la DPO à l’adresse : dpo@univ-poitiers.fr