Alex Franch
Contenu
- Comment prévenir une violation de données ?
- Qu'est-ce qu'une violation de données ?
- Qu'est-ce qu'une donnée personnelle ?
- Exemples de violations de données
- Quand faut-il notifier une violation de données ?
Comment prévenir une violation de données ?
La réalisation d'évaluations des risques, comme une analyse d'impact relative à la protection des données (AIPD), et leur enregistrement peuvent vous aider à prévenir les violations de données. Les évaluations des risques peuvent vous aider à identifier l'ancienneté de votre logiciel, les éventuelles vulnérabilités et le niveau de formation que votre personnel a reçu pour vous permettre de gérer la probabilité globale d'une violation de données au sein de votre organisation.
Le tableau de bord Privasee est un moyen simple et rapide pour votre organisation de garder le contrôle de ces composants et vous aide à coordonner l'intersection entre plusieurs conditions de risque. Grâce à des fonctionnalités qui vous aident à enregistrer l'heure et la date des analyses d'impact sur la protection des données et la personne responsable de leur réalisation, vous pouvez mieux gérer vos risques globaux liés aux données avec une surveillance accrue. La prévention des violations de données ne doit pas nécessairement être coûteuse ni être un casse-tête avec les bons outils.
En tant que PME, votre organisation doit comprendre ce qu'est une violation de données, comment l'identifier, quand elle doit être notifiée au Information Commissioner's Office (ICO) et, finalement, comment la prévenir.
Qu'est-ce qu'une violation de données ?
Une violation de données est définie par le RGPD comme :
« Une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, stockées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données » (article 4(12) du RGPD).
L'article 29 des Lignes directrices du Groupe de travail (WP29) précise davantage ce qui précède comme signifiant :
- la destruction de données car elles n’existent plus ou existent sous une forme qui est inutile pour le responsable du traitement ;
- la perte de données telles que des données qui existent mais auxquelles le responsable du traitement n’a plus accès ;
- la modification des données, c'est-à-dire des données rendues incomplètes de quelque manière que ce soit, telles que des données corrompues ou lorsque des données sont modifiées sans le consentement de la personne concernée ; et
- la divulgation ou l’accès non autorisé à des données, ainsi que le partage, le stockage ou le traitement de données personnelles avec des destinataires non prévus.
Qu'en est-il de la perte temporaire de données ?
Les directives du WP29 indiquent que la perte temporaire de données peut constituer une violation de données si le manque d'accès affecte les droits et libertés des individus (exemple ci-dessous). Si la perte temporaire est plus grave, la violation peut même devoir être notifiée à l'ICO. Dans tous les cas, la perte temporaire de données doit être documentée comme pour les pertes permanentes de données afin de démontrer la responsabilité de votre organisation.
Qu'est-ce qu'une donnée personnelle ?
Les données personnelles sont définies à l'article 4 (1) du RGPD comme suit :
« Toute information concernant une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
Les données peuvent être à la fois objectives, comme le nom et l'adresse e-mail d'une personne, ou subjectives, comme les pensées et les opinions sur elle, par exemple lorsque les organisations évaluent les individus pour leur donner accès à des produits comme les services bancaires ou les assurances. Les données subjectives comprennent également les données sur les points de vue d'un individu et ses interactions au sein de la société, comme ses comportements et ses actions. Le WP29 attire également notre attention sur le fait que les données n'ont pas besoin d'être exactes ou correctes pour être considérées comme des données personnelles ; c'est pourquoi le RGPD contient des dispositions distinctes pour corriger les informations détenues à tort.
Les données personnelles doivent également concerner les personnes physiques. Une personne est une personne physique de sa naissance à son décès, quelle que soit sa nationalité ou son lieu de résidence, car le droit à la vie privée est considéré comme un droit universel. Bien que les règles relatives aux données relatives aux personnes décédées soient légèrement différentes, le WP29 suggère qu'il pourrait être plus facile de les traiter de la même manière que celles des personnes physiques, car les données des personnes décédées peuvent contenir indirectement des données sur les vivants. Par exemple, des données sensibles sur une personne décédée atteinte d'hémophilie peuvent indirectement identifier sa progéniture atteinte de la même maladie.
Qu’est-ce qui n’est pas une donnée personnelle ?
Les données relatives aux organisations ne sont pas considérées comme des données personnelles. Les autres informations non considérées comme des données personnelles comprennent :
- Courriels à l'échelle de l'entreprise tels que info@organisation.com
- Données anonymisées
- Données qui ne permettent pas d’identifier les individus*
Cela ne signifie toutefois pas que les lois nationales sur les données ne peuvent pas s'appliquer, ce qui considère certaines données comme des données personnelles. D'autres régimes juridiques non liés à la réglementation sur les données peuvent également s'appliquer, comme le droit pénal ou le droit de la propriété intellectuelle. Votre organisation devra peut-être évaluer cela au cas par cas.
Exemples de violations de données
- Partage des données personnelles des clients sur les plateformes de médias sociaux sans leur consentement
- Envoyer un e-mail à la mauvaise personne contenant le nom complet et l'adresse d'un client, ce qui peut avoir des conséquences négatives pour le client
- Exposition de données personnelles à des publics non ciblés
- Perte de données lorsque les données ont été supprimées accidentellement ou par des tiers non autorisés, ou lorsque la clé de décryptage a été perdue dans le cas de données cryptées
- Perte de données due à la perte de matériel tel que des clés USB et des notes écrites
- La perte permanente de données personnelles qui n'ont pas de sauvegarde, comme des notes manuscrites qui sont les seuls documents disponibles - c'est ce qu'on appelle également une violation de disponibilité
- Perte temporaire de données personnelles qui auraient été cruciales au moment où elles étaient nécessaires, comme la perte temporaire de dossiers hospitaliers ayant entraîné l'annulation d'un rendez-vous ou d'une intervention chirurgicale
- Cambriolages par des tiers pour voler des fichiers contenant des données personnelles d'employés et de clients
- Modification des données sans le consentement de la personne concernée lorsqu'il n'existe aucune sauvegarde
- Cyberattaques
Consultez une analyse détaillée de l’impact des fuites de données sur cette plateforme de réservation d’hôtel où les informations de carte de crédit de plus de 100 000 clients ont été exposées ici .
Quand l’ICO doit-elle être informée d’une violation de données ?
Si vous êtes victime d'une violation de données personnelles, vous devez déterminer si cela représente un risque pour les personnes et la probabilité et la gravité du risque pour les droits et libertés des personnes, après la violation. Après cette évaluation, s'il est probable qu'il y ait un risque, vous devez en informer l'ICO ; si c'est peu probable, vous n'êtes pas obligé de le signaler, mais vous devez justifier cette décision et la documenter.
Si vous signalez une violation , celle-ci doit être signalée à l'ICO sans délai injustifié et dans les 72 heures suivant la violation, à compter du moment où vous en avez pris connaissance. Le fait de ne pas informer l'ICO d'une violation de données pertinente peut entraîner une amende pouvant atteindre 10 millions d'euros ou 2 % de votre chiffre d'affaires mondial annuel, selon le montant le plus élevé.
Cliquez ici pour une évaluation en ligne pour savoir si vous devez signaler un incident à l'ICO.
Vous devez également évaluer l'impact sur les individus, car les organisations doivent signaler une violation de données aux personnes concernées sans délai injustifié s'il existe « un risque élevé pour les droits et libertés des personnes physiques », par exemple si la violation de données porte atteinte à leur sécurité de quelque manière que ce soit. Cependant, le seuil de signalement aux personnes concernées est plus élevé que celui du signalement à l'ICO, il est donc probable que vous deviez d'abord signaler l'incident à l'ICO, dans tous les cas. Dans d'autres cas, signaler trop souvent une violation de données aux personnes concernées peut parfois provoquer une lassitude, de sorte qu'une violation grave n'est pas prise au sérieux.
Pour plus d’informations sur la manière de signaler une violation de données, veuillez consulter notre futur article sur les notifications.
* https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_en
Clause de non-responsabilité
Cet article ne constitue en aucun cas un avis juridique et vise uniquement à décomposer certains des principaux points énoncés par des sources accessibles au public telles que l'ICO.
Sources et ressources complémentaires
Commission européenne - Qu'est-ce qu'une donnée personnelle ?
Avis 4/2007 du groupe de travail Article 29 sur la notion de données à caractère personnel
Exemples de violation de données personnelles
Violation des données personnelles ICO
Apprendre encore plus
Articles connexes
.png)
%20-%20what%20is%20it%2C%20explained..png)
.png)
Apprendre encore plus
