Le bureau du CEPD rappelle que le responsable du traitement doit notifier la violation de données à caractère personnel aux personnes concernées et à l’autorité de contrôle lorsqu’il est probable que la violation présente un risque élevé pour les personnes concernées. Début mars, le Cyber Security Center a détecté une vulnérabilité critique dans le serveur de messagerie Exchange.
En mars, le bureau du superviseur de la protection des données a reçu 28 notifications de sécurité relatives à une vulnérabilité critique dans le serveur de messagerie Microsoft Exchange. Le nombre devrait continuer à augmenter.
Début mars, le Cyber Security Center a estimé que la vulnérabilité serait exploitée activement et qu’une organisation utilisant un serveur Exchange vulnérable aurait dû présumer qu’elle avait été violée. La simple installation d’une mise à jour logicielle n’est pas suffisante pour éloigner un attaquant. Vous pouvez en savoir plus sur cette alerte dans le bulletin du Cyber Security Centre.
En cas de perte d’informations personnelles à haut risque, il est nécessaire de signaler une violation de la sécurité
En cas de violation de données à caractère personnel, le responsable du traitement doit évaluer le niveau de risque de violation personnelle. En cas de violation des données personnelles, les données personnelles sont détruites, perdues, altérées, divulguées sans autorisation ou accessibles par une partie qui n’a pas le droit de les traiter.
Il est probable que le piratage des serveurs de messagerie constitue un risque élevé pour les droits et libertés des personnes concernées. Cette violation des données à caractère personnel doit être notifiée sans retard injustifié aux personnes qui ont été violées. La notification aux personnes concernées est précisée à l’article 34 du règlement général sur la protection des données.
Une violation des données à caractère personnel à haut risque doit être signalée à l’autorité de contrôle, à savoir le bureau du délégué à la protection des données. La responsabilité de la notification incombe au responsable du traitement. Une violation de données à caractère personnel doit être signalée sans retard injustifié et, si possible, dans les 72 heures suivant la constatation de l’infraction. Une infraction à la sécurité à haut risque devrait également être documentée.
SOURCE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA FINLANDIA