accordion-iconalert-iconarrow-leftarrowarticleShowedbacktotopCreated with Sketch. bookmarkcall-iconcheckchecked-iconclockclose-grcloseconnexion-iconfb-col fb-footer-iconfb-iconfb feedMark__icon--radiofeedMark__icon--starPage 1Created with Avocode.filterAccordion-arrowgoo-col headerBtn__icon--connecthomeinfo-blueinfo insta-1 instalank2IconCreated with Avocode.lglasslink-2linklink_biglinkedin-footer-iconlinkedin-iconlinkedin Svg Vector Icons : http://www.onlinewebfonts.com/icon lock-bluelockmail-bluemail-iconmailnot_validoffpagenavi-next-iconpdf-download-iconplus print-iconreadLaterFlagrelatedshare-icontagsLink-icontop-pagetw-col tw-footer-icontw-icontwitter unk-col user-blueuseruserName__icon--usernamevalidyoutube-footer-iconyoutube Svg Vector Icons : http://www.onlinewebfonts.com/icon
Offert

Violation de données : le CEPD publie des lignes directrices à partir de cas pratiques

AAI
CNIL, actualités, 3 févr. 2022
[03.02.2022]

Afin d'aider les responsables de traitement à répondre à leurs obligations et « à avoir les réactions adaptées selon les situations », le Comité européen de la protection des données a publié des lignes directrices comprenant 18 cas pratiques.

Une traduction française de ces lignes directrices, pour l'instant seulement disponibles en anglais, sera consultable « dans les prochaines semaines ».

La CNIL a partagé l'information sur son site internet, en rappelant déjà que, dans certains cas, le RGPD, qui introduit l'obligation d'enregistrer, dans un registre interne, toutes les violations de données personnelles, prévoit de lui notifier la violation et de la communiquer aux personnes dont les données personnelles ont été affectées.

Le G29, qui précédait le Comité européen de la protection des données (CEPD) avant l'entrée en vigueur du RGPD en 2018, avait déjà produit une orientation générale sur la notification des violations de données en octobre 2017, en analysant les sections pertinentes du RGPD. Compte tenu de la diversité des situations rencontrées par les responsables de traitement, le CEPD a complété ce premier travail par la présentation de cas pratiques, fondés sur les expériences acquises par les autorités de protection des données ces dernières années.

Il a ainsi publié des lignes directrices qui ont pour objectif d'« aider les organismes à traiter les violations de données » et les informer sur les « facteurs à prendre en compte lors de l'évaluation des risques ». Ce, à partir de cas pratiques, au nombre de 18, qui « couvrent une grande partie des différents types de violations de données personnelles qui peuvent être rencontrées et précisent les obligations à suivre en fonction des situations ». Pour chaque cas, il est notamment indiqué si l'autorité doit être notifiée et si la violation doit être communiquée aux personnes concernées :

1. Rançongiciel :

• Sans exfiltration de données et avec sauvegarde ;

• Sans sauvegarde ;

• Dans un hôpital (avec sauvegarde et sans exfiltration) ;

• Avec exfiltration et sans sauvegarde.

2. Attaques d'exfiltration de données :

• Exfiltration de données de candidature à des offres d'emploi ;

• Exfiltration de mots de passe hachés ;

• Bourrage d'identifiants sur un site bancaire (credential stuffing).

3. Source interne de risque humain :

Exfiltration de données d'entreprise par un employé ;

• Transmission accidentelle à un tiers.

4. Appareils ou documents papier perdus ou volés :

• Matériel volé stockant des données personnelles chiffrées ;

• Matériel volé stockant des données personnelles non chiffrées ;

• Documents papier volé contenant des données sensibles.

5. Erreur d'envoi :

• Erreur d'envoi postal de factures d'achat en ligne ;

• Données personnelles hautement confidentielles envoyées par courriel par erreur ;

• Données personnelles envoyées par courriel par erreur ;

• Erreur d'envoi postal de documents d'assurance.

6. Ingénierie sociale :

• Vol d'identité ;

• Exfiltration de courriels.