Données personnelles – Gestion des violations de données à caractère personnel

Finalités

Le traitement a pour objet la gestion des violations de données à caractère personnel.

Il permet à la CNIL :

• l'enregistrement des notifications reçues ;
• l'analyse des notifications reçues ;
• les investigations éventuelles auprès des organismes ayant notifié ;
• la synthèse et la gestion des suites données aux notifications reçues et historisation ;
• l'aide au pilotage de l'activité ;
• la gestion des statistiques et des comptes-rendus de l’activité ;
• la mesure de l'utilisation des services proposés et la prise en compte des retours des usagers pour l'amélioration de ces services.

Base légale

Article 6 (1) e du règlement général sur la protection des données - RGPD

Ce traitement de données relève de l'exercice de l'autorité publique dont est investie la CNIL en application du règlement général sur la protection des données et de la loi Informatique et Libertés modifiée.

Catégories de données traitées

• données d’identification ;
• données de connexion ;
• coordonnées professionnelles ;
• vie professionnelle ;
• retours qualité sur le service proposé ;
• statistiques.

Source des données

Ces informations sont recueillies auprès de l'utilisateur du téléservice de notification d’une violation de données à caractère personnel.

Sur la base du numéro SIREN fourni par l'utilisateur du téléservice, la CNIL utilise l'API Entreprise.

Les données sont également issues des contacts ultérieurs entre l’organisme ayant procédé à la notification et la CNIL.

Caractère obligatoire du recueil des données

Le téléservice de notification de violation de données, prévoit (sauf mention contraire) le recueil obligatoire des données qui sont nécessaires au traitement du dossier reçu.

Prise de décision automatisée

Le traitement ne prévoit pas de prise de décision automatisée.

Le traitement de données concerne :

• les personnes physiques mentionnées dans la notification de violation de données (notamment la personne désignée comme point de contact de la CNIL) ou dans les documents établis dans le cadre du traitement des notifications reçues ;
• les personnels de la CNIL en charge de la gestion des notifications.

Catégories de destinataires

Dans la limite de leurs besoins respectifs, sont destinataires de tout ou partie des données :

• les membres et personnels de la CNIL en charge du traitement des notifications ;
• en cas de notification concernant un traitement transfrontalier pour lequel la CNIL est autorité chef de file, les données pourront être transmises aux autres autorités de protection des données concernées.

Transferts des données hors UE

Aucun transfert de données hors de l'Union européenne n'est réalisé.

Les données relatives à une notification de violation de données à caractère personnel sont conservées dix ans à compter de la clôture du dossier.

Exercer ses droits

Le délégué à la protection des données (DPO/DPD) de la CNIL est votre interlocuteur pour toute demande d'exercice de vos droits sur ce traitement.

• Contacter le DPO/DPD par voie électronique

> Contacter le délégué à la protection des données (DPO/DPD) de la CNIL

• Contacter le DPO/DPD par courrier postal

Le délégué à la protection des données
CNIL
3 Place de Fontenoy
TSA 80715
75334 PARIS CEDEX 07

Réclamation (plainte) auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous pouvez adresser une réclamation (plainte) à la CNIL.