Guide sur la notification des violations de la sécurité des données

Conformément à son premier article, la loi sur la protection des données (LPD) vise à protéger la personnalité et les droits fondamentaux des personnes physiques dont les données font l’objet d’un traitement. L’art. 24 LPD règle les obligations des responsables du traitement et les droits des personnes concernées lorsqu’un tel traitement des données personnelles donne lieu à une violation de la sécurité des données. En vertu de l’art. 5, let. h LPD, on peut supposer qu’il y a violation de la sécurité des données lorsque des données personnelles sont perdues, effacées, détruites ou modifiées de manière accidentelle ou illicite ou sont divulguées ou rendues accessibles à des personnes non autorisées.

Ce guide du PFPDT traite des conditions légales pour l’annonce des violations de la sécurité des données au PFPDT, en particulier de la notion de « risque vraisemblablement élevé » de l'art. 24 al. 1 LPD. Il définit également les conditions d'information des personnes concernées en cas de violation de la sécurité des données selon l'art. 24 al. 4 LPD.