Qu'est-ce qu'une infraction à la protection des données ?

Une infraction à la protection des données est un incident au cours duquel des données sensibles, protégées ou confidentielles ont pu être visionnées, volées ou utilisées par une personne non autorisée. Cela peut être le cas, par exemple, en cas de perte d'une clé USB ou d'un autre type de mémoire contenant des données personnelles, ou bien en cas de vol d'un téléphone portable professionnel ou d'envoi à un destinataire erroné de documents contenant des données personnelles.

Qu'entend-on par données personnelles ?

Les données personnelles sont toutes les informations se rapportant à une personne (physique) identifiée ou pouvant être identifiée, par exemple nom, adresse, date de naissance, coordonnées bancaires, numéro de téléphone ou identifiant client.

Exemples d'infractions à la protection des données devant être signalées aux autorités :

• Une liste contenant le nom et l'adresse des employés d'OSRAM est envoyée par erreur au mauvais destinataire.
• Une attaque informatique permet ou pourrait permettre à des pirates d'accéder à la base de données clients d'OSRAM.
• Lors d'un déménagement, des cartons contenant les données de référence des employés sont expédiés à la mauvaise adresse, si bien que des personnes non autorisées peuvent avoir accès à ces dossiers.
• Des listes de clients ou d'employés d'OSRAM imprimées sur papier sont jetées dans la corbeille à papier normale au lieu d'être jetées dans la « poubelle pour données protégées ».
• Un prestataire de services reçoit un accès illimité à un outil de gestion des relations clients contenant des centaines d'informations personnelles bien que cela ne soit pas nécessaire à l'exécution de ses tâches.
• Suite à une erreur logicielle, des informations personnelles stockées dans un portail clients deviennent accessibles à d'autres utilisateurs sans qu'aucune inscription ou approbation préalable ne soit requise.

Qu'implique une obligation de signalement d'une infraction à la protection des données ?

OSRAM peut être tenue de signaler un incident aux autorités, en fonction de sa nature exacte. Dans certains cas, il peut être obligatoire d'avertir les individus concernés et de leur indiquer l'impact de ce signalement sur le droit au respect de la sphère privée.

Y a-t-il un délai pour soumettre un signalement d'infraction à la protection des données ?

Oui. En fonction du lieu où l'infraction a été commise et du type de données personnelles concernées, OSRAM peut être tenue de soumettre le signalement dans les 48 à 72 heures. Il est donc très important que vous signaliez un éventuel incident relatif à une infraction à la protection des données au Corporate Data Protection Officer dans les plus brefs délais. « Tell OSRAM » offre un moyen rapide et simple de déposer un signalement (pour les modalités pratiques, reportez-vous au point suivant).

Comment puis-je signaler une infraction à la protection des données ?

Pour signaler une infraction à la protection des données, il suffit de cliquer sur le bouton « Soumettre une alerte » situé en haut à gauche de notre page d'accueil. Vous serez alors redirigés vers la procédure de signalement. Au cours de la procédure de signalement, vous aurez la possibilité de joindre à votre signalement un fichier de 2 MO maximum. Une fois votre signalement terminé, vous recevrez un numéro de référence généré automatiquement que vous devrez indiquer dans toute communication complémentaire avec nous. Dans ce but, « Tell OSRAM » offre la possibilité de créer une boîte de dialogue protégée. La mise en place d'une telle boîte de dialogue n'est cependant pas nécessaire pour soumettre un signalement. Vous pouvez également contacter le CDPO à tout moment en envoyant un message à privacy@osram.com.

Quels sont les risques encourus par OSRAM suite à une infraction à la protection des données ?

Les infractions à la protection des données peuvent porter atteinte au prestige, au renom et à la réputation de fiabilité d'OSRAM, et ainsi nous faire perdre des clients potentiels. Par ailleurs, les autorités compétentes peuvent infliger des amendes à OSRAM ou imposer d'autres sanctions telles que des contrôles complets et réguliers. Les victimes peuvent également réclamer des dommages-intérêts en cas d'infraction grave à la protection des données.