Violation de données : le CEPD publie des lignes directrices à partir de cas pratiques
Afin d'aider les responsables de traitement à répondre à leurs obligations et « à avoir les réactions adaptées selon les situations », le Comité européen de la protection des données a publié des lignes directrices comprenant 18 cas pratiques.
Une traduction française de ces lignes directrices, pour l'instant seulement disponibles en anglais, sera consultable « dans les prochaines semaines ».
La CNIL a partagé l'information sur son site internet, en rappelant déjà que, dans certains cas, le
Le G29, qui précédait le Comité européen de la protection des données (CEPD) avant l'entrée en vigueur du
Il a ainsi publié des lignes directrices qui ont pour objectif d'« aider les organismes à traiter les violations de données » et les informer sur les « facteurs à prendre en compte lors de l'évaluation des risques ». Ce, à partir de cas pratiques, au nombre de 18, qui « couvrent une grande partie des différents types de violations de données personnelles qui peuvent être rencontrées et précisent les obligations à suivre en fonction des situations ». Pour chaque cas, il est notamment indiqué si l'autorité doit être notifiée et si la violation doit être communiquée aux personnes concernées :
1. Rançongiciel :
• Sans exfiltration de données et avec sauvegarde ;
• Sans sauvegarde ;
• Dans un hôpital (avec sauvegarde et sans exfiltration) ;
• Avec exfiltration et sans sauvegarde.
2. Attaques d'exfiltration de données :
• Exfiltration de données de candidature à des offres d'emploi ;
• Exfiltration de mots de passe hachés ;
• Bourrage d'identifiants sur un site bancaire (credential stuffing).
3. Source interne de risque humain :
• Exfiltration de données d'entreprise par un employé ;
• Transmission accidentelle à un tiers.
4. Appareils ou documents papier perdus ou volés :
• Matériel volé stockant des données personnelles chiffrées ;
• Matériel volé stockant des données personnelles non chiffrées ;
• Documents papier volé contenant des données sensibles.
5. Erreur d'envoi :
• Erreur d'envoi postal de factures d'achat en ligne ;
• Données personnelles hautement confidentielles envoyées par courriel par erreur ;
• Données personnelles envoyées par courriel par erreur ;
• Erreur d'envoi postal de documents d'assurance.
6. Ingénierie sociale :
• Vol d'identité ;
• Exfiltration de courriels.