Comment évaluer le niveau de risque en cas de violation de données personnelles ?
1- Quelles obligations du responsable du traitement en cas de violation de données personnelles ?
En cas de violation de données personnelles, le responsable du traitement est soumis à plusieurs obligations (articles 33 et 34 du RGPD) :
- Réagir de manière appropriée en mettant fin à la violation ou en atténuant ses conséquences
- Documenter la violation
- Notifier la violation à la Cnil en cas de risque pour les personnes
- Informer les personnes concernées en cas de risque élevé pour ces dernières
- Tirer les conséquences de la violation
2- Quelle gradation des actions en fonction du niveau de risque pour les personnes concernées ?
Pour connaitre l’étendue de ses obligations, le responsable du traitement doit déterminer le niveau de risque que la violation fait encourir aux personnes concernées. Plus le niveau de risque sera élevé, plus le nombre d’actions à mettre en œuvre sera important.
- Une violation ne faisant pas courir de risque aux personnes concernées devra simplement être documentée en interne ;
- Une violation faisant courir un risque aux personnes doit être documentée en interne et notifiée à la Cnil ;
- Une violation faisant courir un risque élevé aux personnes doit être documentée, notifiée à la Cnil et faire l’objet d’une information auprès des personnes concernées.
3- Comment évaluer le niveau de risque de la violation pour les personnes concernées ?
L’appréciation du niveau de risque engendré par la violation pour les personnes concernées doit être réalisée au cas par cas.
Elle dépendra des critères suivants :
- Le type de violation :
- Mise en cause de l’intégrité des données
- Rupture de la confidentialité
- Perte de la disponibilité des données
- La nature de données affectées, notamment :
- Données sensibles
- Données relatives aux infractions et condamnations
- Données à caractère hautement personnel
- Le volume de données ou de personnes concernées
- La facilité d’identifier les personnes concernées grâce aux données faisant l’objet d’une violation
- Les conséquences possibles pour ces personnes (gravité et vraisemblance)
- Les catégories de personnes concernées, notamment :
- Personnes vulnérables
La Cnil ajoute les caractéristiques du responsable du traitement. Pourtant, en ce qui concerne l’appréciation du risque pour les personnes concernées par la violation, la nature de l’organisme ne semble pas avoir d’incidence prédominante.
4- Quel outil pour évaluer rapidement le niveau de risque de la violation ?
Lorsqu’une violation de données comporte un risque pour les personnes et nécessite sa notification à la Cnil, le responsable dispose d’un délai de 72h à compter de sa prise de connaissance pour réaliser cette notification (Téléservice de la CNIL).
Le G29 précise que le moment de la « prise de connaissance » est celui où le responsable de traitement est « raisonnablement certain qu’un incident de sécurité s’est produit et que cet incident a compromis des données à caractère personnel ».
Le responsable du traitement a donc tout intérêt à définir, à l’avance, une matrice de qualification des risques en fonction des traitements qu’il met en œuvre. Cette matrice peut proposer une notation des différents critères entrant en ligne de compte pour l’évaluation du niveau de risque. Elle peut être construite sur la base du modèle suivant :
- Description de la violation élément par élément
- Notation du risque sur la base des éléments décrits
Des exemples d’impact sur les personnes ou d’évaluation des niveaux de risque sont présentés dans les Guides de la Cnil relatifs à l’analyse d’impact.
5 – Les résultats de l’évaluation
- Un résultat combiné supérieur ou égal à 6 pourra être considéré comme un risque élevé pour les personnes :
Dans ces conditions, la violation fera l’objet d’une communication auprès des personnes concernées, directement ou, le cas échéant, par voie d’information publique. Elle devra également être notifiée à la Cnil et faire l’objet d’une documentation interne.
- Un résultat égal à 4 ou 5 pourra être considéré comme un risque réel mais limité pour les personnes : dans ce cas, une notification à la Cnil sera nécessaire ainsi qu’une documentation interne.
- Un résultat inférieur à 4 pourra être considéré comme négligeable : La violation sera documentée en interne mais ne fera pas l’objet de notification à la Cnil, ni d’information des personnes concernée.
6 – Six mois après l’entrée en application du RGPD
1 000 notifications de violations de données personnelles reçues par la Cnil dans les six mois suivant l’entrée en application du RGPD, soit environ sept par jour.
Pour en savoir plus :
- La ligne directrice sur la notification des violations de données personnelles du G29
- Recommendations for a methodology of the assessment of severity of personal data breaches
Art vectoriel gratuit via Vecteezy
Je partage
Derniers articles
Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur
Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !
Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client
Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?