Comment évaluer le niveau de risque en cas de violation de données personnelles ?

1- Quelles obligations du responsable du traitement en cas de violation de données personnelles ?

En cas de violation de données personnelles, le responsable du traitement est soumis à plusieurs obligations (articles 33 et 34 du RGPD) :

  • Réagir de manière appropriée en mettant fin à la violation ou en atténuant ses conséquences
  • Documenter la violation
  • Notifier la violation à la Cnil en cas de risque pour les personnes
  • Informer les personnes concernées en cas de risque élevé pour ces dernières
  • Tirer les conséquences de la violation

2- Quelle gradation des actions en fonction du niveau de risque pour les personnes concernées ?

Pour connaitre l’étendue de ses obligations, le responsable du traitement doit déterminer le niveau de risque que la violation fait encourir aux personnes concernées. Plus le niveau de risque sera élevé, plus le nombre d’actions à mettre en œuvre sera important.

  • Une violation ne faisant pas courir de risque aux personnes concernées devra simplement être documentée en interne ;
  • Une violation faisant courir un risque aux personnes doit être documentée en interne et notifiée à la Cnil ;
  • Une violation faisant courir un risque élevé aux personnes doit être documentée, notifiée à la Cnil et faire l’objet d’une information auprès des personnes concernées.

3- Comment évaluer le niveau de risque de la violation pour les personnes concernées ?

L’appréciation du niveau de risque engendré par la violation pour les personnes concernées doit être réalisée au cas par cas.

Elle dépendra des critères suivants :

  • Le type de violation :
    • Mise en cause de l’intégrité des données
    • Rupture de la confidentialité
    • Perte de la disponibilité des données
  • La nature de données affectées, notamment :
    • Données sensibles
    • Données relatives aux infractions et condamnations
    • Données à caractère hautement personnel
  • Le volume de données ou de personnes concernées
  • La facilité d’identifier les personnes concernées grâce aux données faisant l’objet d’une violation
  • Les conséquences possibles pour ces personnes (gravité et vraisemblance)
  • Les catégories de personnes concernées, notamment :
    • Personnes vulnérables

La Cnil ajoute les caractéristiques du responsable du traitement. Pourtant, en ce qui concerne l’appréciation du risque pour les personnes concernées par la violation, la nature de l’organisme ne semble pas avoir d’incidence prédominante.

4- Quel outil pour évaluer rapidement le niveau de risque de la violation ?

Lorsqu’une violation de données comporte un risque pour les personnes et nécessite sa notification à la Cnil, le responsable dispose d’un délai de 72h à compter de sa prise de connaissance pour réaliser cette notification (Téléservice de la CNIL).

Le G29 précise que le moment de la « prise de connaissance » est celui où le responsable de traitement est « raisonnablement certain qu’un incident de sécurité s’est produit et que cet incident a compromis des données à caractère personnel ».

Le responsable du traitement a donc tout intérêt à définir, à l’avance, une matrice de qualification des risques en fonction des traitements qu’il met en œuvre. Cette matrice peut proposer une notation des différents critères entrant en ligne de compte pour l’évaluation du niveau de risque. Elle peut être construite sur la base du modèle suivant :

  • Description de la violation élément par élément
  • Notation du risque sur la base des éléments décrits

Des exemples d’impact sur les personnes ou d’évaluation des niveaux de risque sont présentés dans les Guides de la Cnil relatifs à l’analyse d’impact.

5 – Les résultats de l’évaluation

  • Un résultat combiné supérieur ou égal à 6 pourra être considéré comme un risque élevé pour les personnes :
    Dans ces conditions, la violation fera l’objet d’une communication auprès des personnes concernées, directement ou, le cas échéant, par voie d’information publique. Elle devra également être notifiée à la Cnil et faire l’objet d’une documentation interne.
  • Un résultat égal à 4 ou 5 pourra être considéré comme un risque réel mais limité pour les personnes : dans ce cas, une notification à la Cnil sera nécessaire ainsi qu’une documentation interne.
  • Un résultat inférieur à 4 pourra être considéré comme négligeable : La violation sera documentée en interne mais ne fera pas l’objet de notification à la Cnil, ni d’information des personnes concernée.

6 – Six mois après l’entrée en application du RGPD

1 000 notifications de violations de données personnelles reçues par la Cnil dans les six mois suivant l’entrée en application du RGPD, soit environ sept par jour.

Pour en savoir plus :

Art vectoriel gratuit via Vecteezy

Je partage

Derniers articles

Angular, N’Tier et HttpOnly

Avec l’apparition au cours de la décennie 2010 des environnements de travail Javascript de plus en plus puissants, l’architecture N’Tiers, si elle était déjà une norme dans le contexte d’application d’entreprises au cours des années 2000, a pu voir son modèle s’étendre à de nombreuses solutions Web. Ce modèle repose sur l’utilisation de technologies exécutées par le navigateur. Or, il arrive parfois que cette couche doive gérer une partie de l’authentification de l’utilisateur, pourtant une recommandation courante sur l’authentification est qu’elle ne doit jamais être côté client. Aussi, les cookies devraient toujours posséder l’attribut HttpOnly, empêchant leur lecture par une couche Javascript et ce afin d’empêcher tout vol de session lors d’une attaque de type XSS. Pourtant, cet attribut empêche littéralement l’application front-end de travailler avec ces éléments. Comment gérer au mieux ces questions sur ce type de déploiement ?

Lire l'article

Cybersécurité bancaire en Europe : les nouvelles mesures de la BCE, les risques et les solutions

La cybersécurité est devenue une préoccupation majeure pour le secteur financier, confronté à une digitalisation croissante de ses activités. Alors que la Banque Centrale Européenne (BCE) intensifie ses efforts pour renforcer la résilience face aux cybermenaces, cet article explore le contexte actuel, les initiatives de la BCE et les recommandations de Digitemis pour faire face à l’intensification des menaces sur le secteur.

Lire l'article