1 L’annonce au PFPDT d’une violation de la sécurité des données comprend les informations suivantes:
- la nature de la violation;
- dans la mesure du possible, le moment et la durée;
- dans la mesure du possible, les catégories et le nombre approximatif de données personnelles concernées;
- dans la mesure du possible, les catégories et le nombre approximatif de personnes concernées;
- les conséquences, y compris les risques éventuels, pour les personnes concernées;
- les mesures prises ou prévues pour remédier à cette défaillance et atténuer les conséquences, y compris les risques éventuels;
- le nom et les coordonnées d’une personne de contact.
2 Si le responsable du traitement n’est pas en mesure d’annoncer simultanément toutes les informations, il fournit les informations manquantes dans les meilleurs délais.
3 Si le responsable du traitement est tenu d’informer la personne concernée, il lui communique, dans un langage simple et compréhensible, au moins les informations visées à l’al. 1, let. a et e à g.
4 Le responsable du traitement documente les violations. La documentation contient les faits relatifs aux incidents, à leurs effets et aux mesures prises. Elle est conservée pendant au moins deux ans à compter de la date d’annonce au sens de l’al. 1.
