← Glossaire complet

Violation de données à caractère personnel

Un incident de sécurité entraînant la destruction, la perte, l'altération ou l'accès non autorisé, accidentel ou illicite, à des données à caractère personnel — par exemple un e-mail envoyé au mauvais destinataire, un ordinateur portable perdu ou une cyberattaque. Une violation doit en principe être notifiée à l'autorité de protection des données dans les 72 heures, sauf si elle n'est pas susceptible d'engendrer un risque pour les personnes concernées. En cas de risque élevé, les personnes concernées doivent également être informées. Toute violation — y compris celles qui ne sont pas notifiées — doit être documentée dans un registre interne.