Home

Entreprises qui nous ont choisis

Privacy Officer et Privacy Consultant
Schéma CDP selon ISO/IEC 17024:2012
European Privacy Auditor
Système de certification ISDP©10003 selon ISO/IEC 17065:2012
Auditor
Selon la norme UNI 11697:2017
Lead Auditor ISO/IEC 27001:2022
Selon la norme ISO/IEC 17024:2012
Délégué à la Protection des données
Selon la norme ISO/IEC 17024:2012
Anti-Bribery Lead Auditor Expert
Selon la norme ISO/IEC 17024:2012
ICT Security Manager
Selon la norme UNI 11506:2017
IT Service Management (ITSM)
Selon la Fondation ITIL
Ethical Hacker (CEH)
Selon EC-Council
Network Defender (CND)
Selon EC-Council
Computer Hacking Forensics Investigator (CHFI)
Selon EC-Council
Penetration Testing Professional (CPENT)
Selon EC-Council

Qualifications professionnelles

Restez au courant de l'actualité mondiale!

Sélectionnez les thèmes qui vous intéressent:

News

Home / News
/
Quelle est la différence entre un incident de sécurité et une violation de données personnelles, Data Breach?

Quelle est la différence entre un incident de sécurité et une violation de données personnelles, Data Breach?

Dans de nombreux cas, l’activation de la procédure de données Breach par le responsable du traitement avec notification à l’Autorité de protection des données conformément à l’article. En conséquence, l’article 33 du RGPD peut entraîner l’application de certaines sanctions administratives, y compris pécuniaires, par l’Autorité. Ce n’est pas une règle, mais les chances sont grandes. Il suffit de penser, par exemple, aux récentes mesures rappelées dans la newsletter du 19 février 2021 où l’Autorité, en référence aux structures sanitaires, dans infliger la sanction il s’est rappellé de que les responsables du traitement doivent prendre toutes les mesures techniques et d’organisation nécessaires pour éviter que les données des intéressants soient communiquées par erreur à autres personnes.

En effet, les violations de données à caractère personnel ne sont pas toujours causées par des cyberattaques externes, mais par des procédures inadéquates et de simples erreurs matérielles du personnel.

Je pense qu’il s’agit d’un aspect très important à souligner, car pour remédier à une violation, il faut avant tout que le responsable du traitement soit en mesure de la reconnaître. À l’article 4, point 12, le règlement UE no 2016/679 (RGPD) définit la violation des données à caractère personnel comme étant la violation des données à caractère personnel. La violation des données à caractère personnel « violation de sécurité entraînant accidentellement ou illicitement la destruction, la perte, la modification, la divulgation non autorisée ou l’accès aux données à caractère personnel transmises, conservées ou traitées d’une autre manière ». Nous sommes donc face à un concept bien précis.

La signification de la « destruction » des données à caractère personnel devrait être suffisamment claire : il y a destruction des données lorsque celles-ci n’existent plus ou n’existent plus sous une forme qui soit d’une quelconque utilité pour le responsable du traitement. La notion de « dommage » est également relativement évidente : il y a dommage lorsque les données à caractère personnel ont été modifiées, corrompues ou ne sont plus complètes. Par « perte » de données à caractère personnel, on entend le cas où les données pourraient néanmoins exister, mais le responsable du traitement pourrait en avoir perdu le contrôle ou l’accès, ou ne plus les avoir en sa possession.

Enfin, un traitement non autorisé ou illicite peut inclure la divulgation de données à caractère personnel à (ou l’accès par) des destinataires non autorisés à recevoir (ou à accéder à) les données ou toute autre forme de traitement en violation du règlement.

Comme l’ont souligné les garants européens, dans les lignes directrices « Lignes directrices sur la notification des violations de données à caractère personnel au titre du règlement (UE) 2016/679 » adoptées dans leur dernière version le 6 février 2018, Ce qui doit être clair, c’est qu’une infraction est une sorte d’incident de sécurité.

Toutefois, comme indiqué à l’article 4, point 12, le règlement ne s’applique qu’en cas de violation de données à caractère personnel. La conséquence de cette violation est que le responsable du traitement n’est plus en mesure de garantir le respect des principes relatifs au traitement des données à caractère personnel visés à l’article 5 du RGPD.

Ce point met en lumière la différence entre un incident de sécurité et une violation de données à caractère personnel : alors que toutes les violations de données à caractère personnel sont des incidents de sécurité, tous les incidents de sécurité ne sont pas nécessairement des violations de données à caractère personnel (Un incident de sûreté ne se limite pas aux modèles de menaces dans lesquels une attaque est commise contre une organisation de l’extérieur de celle-ci, mais inclut également les incidents résultant d’un traitement interne qui enfreignent les principes de sûreté).

Un incident de sécurité entraînant l’indisponibilité de données à caractère personnel pendant une certaine période constitue également une violation, étant donné que le manque d’accès aux données peut avoir un impact significatif sur les droits et les libertés des personnes physiques.

Il en va tout autrement dans le cas de l’indisponibilité des données personnelles due à la réalisation d’une opération de maintenance programmée du système qui ne constitue pas une « violation de la sécurité » au sens de l’article 4, point 12.

Comme dans le cas de la perte ou de la destruction permanente de données à caractère personnel (ou de tout autre type de violation), une violation impliquant une perte temporaire de disponibilité doit être documentée conformément à l’article 33, paragraphe 5, du RGPD.

Cela aide le responsable du traitement à démontrer qu’il assume la responsabilité de l’autorité de contrôle, qui peut lui demander de consulter ces enregistrements. Toutefois, selon les circonstances dans lesquelles l’infraction est commise, elle peut exiger ou non la notification à l’autorité de contrôle et la communication aux personnes physiques concernées. Le responsable du traitement devra évaluer la probabilité et la gravité de l’impact de l’indisponibilité des données à caractère personnel sur les droits et libertés des personnes physiques.

Conformément à l’article 33, le responsable du traitement devra effectuer la notification à moins qu’il ne soit peu probable que la violation des données à caractère personnel présente un risque pour les droits et libertés des personnes physiques. Ce point devra clairement être évalué au cas par cas.

Il est également rappelé que le Comité européen de la protection des données (EDPB) a lancé une consultation sur les lignes directrices 1/2021 concernant des exemples de violations de données à caractère personnel.

Dans la même Mesure, le Comité précise qu’une violation peut entraîner des dommages physiques, matériels ou immatériels pour les personnes physiques dont les données ont été violées, comme par exemple la discrimination, l’usurpation d’identité, les préjudices de réputation, les pertes financières, la perte de confidentialité des données à caractère personnel couvertes par le secret professionnel, etc.

(Pour des précisions sur la gestone des data Breach, voir aussi le cours organisé par Federprivacy « Il Data Breach: planification et gestion avant, pendant et après l’événement » prévu le 13 mai 2021)

SOURCE: FEDERPRIVACY

Proposé pour vous

Recherche avancée