Qu'est-ce qu'une infraction à la protection des données ?
Une infraction à la protection des données est un incident au cours duquel des données sensibles, protégées ou confidentielles ont pu être visionnées, volées ou utilisées par une personne non autorisée. Cela peut être le cas, par exemple, en cas de perte d'une clé USB ou d'un autre type de mémoire contenant des données personnelles, ou bien en cas de vol d'un téléphone portable professionnel ou d'envoi à un destinataire erroné de documents contenant des données personnelles.
Qu'entend-on par données personnelles ?
Les données personnelles sont toutes les informations se rapportant à une personne (physique) identifiée ou pouvant être identifiée, par exemple nom, adresse, date de naissance, coordonnées bancaires, numéro de téléphone ou identifiant client.
Exemples d'infractions à la protection des données devant être signalées aux autorités :
- Une liste contenant le nom et l'adresse des employés d'OSRAM est envoyée par erreur au mauvais destinataire.
- Une attaque informatique permet ou pourrait permettre à des pirates d'accéder à la base de données clients d'OSRAM.
- Lors d'un déménagement, des cartons contenant les données de référence des employés sont expédiés à la mauvaise adresse, si bien que des personnes non autorisées peuvent avoir accès à ces dossiers.
- Des listes de clients ou d'employés d'OSRAM imprimées sur papier sont jetées dans la corbeille à papier normale au lieu d'être jetées dans la « poubelle pour données protégées ».
- Un prestataire de services reçoit un accès illimité à un outil de gestion des relations clients contenant des centaines d'informations personnelles bien que cela ne soit pas nécessaire à l'exécution de ses tâches.
- Suite à une erreur logicielle, des informations personnelles stockées dans un portail clients deviennent accessibles à d'autres utilisateurs sans qu'aucune inscription ou approbation préalable ne soit requise.
Qu'implique une obligation de signalement d'une infraction à la protection des données ?
OSRAM peut être tenue de signaler un incident aux autorités, en fonction de sa nature exacte. Dans certains cas, il peut être obligatoire d'avertir les individus concernés et de leur indiquer l'impact de ce signalement sur le droit au respect de la sphère privée.