Violation de données : le CEPD publie des lignes directrices à partir de cas pratiques
Le RGPD encadre la gestion des violations de données personnelles. Afin d'aider les responsables de traitement à répondre à ses obligations et à avoir les réactions adaptées selon les situations, le Comité européen de la protection des données (CEPD) a publié des lignes directrices comprenant 18 cas pratiques.
Des obligations prévues par le RGPD
Le RGPD introduit l’obligation d’enregistrer, dans un registre interne, toutes les violations de données personnelles. Dans certains cas, il prévoit également de notifier la violation à la CNIL et de communiquer la violation aux personnes dont les données personnelles ont été affectées.
Le G29, qui précédait le CEPD avant l’entrée en vigueur du RGPD en 2018, avait déjà produit une orientation générale sur la notification des violations de données en octobre 2017, en analysant les sections pertinentes du RGPD.
Compte tenu de la diversité des situations rencontrées par les responsables de traitement, le CEPD a complété ce premier travail par la présentation de cas pratiques, fondés sur les expériences acquises par les autorités de protection des données ces dernières années.
Une prise en compte des principaux types de violations de données personnelles
Ces lignes directrices ont pour objectif d'aider les organismes à traiter les violations de données et des facteurs à prendre en compte lors de l'évaluation des risques.
Les 18 cas pratiques recensés couvrent une grande partie des différents types de violations de données personnelles qui peuvent être rencontrées et précisent les obligations à suivre en fonction des situations. Pour chaque cas, il est notamment indiqué si l’autorité doit être notifiée et si la violation doit être communiquée aux personnes concernées :
- Rançongiciel :
- Sans exfiltration de données et avec sauvegarde ;
- Sans sauvegarde ;
- Dans un hôpital (avec sauvegarde et sans exfiltration) ;
- Avec exfiltration et sans sauvegarde.
- Attaques d'exfiltration de données :
- Exfiltration de données de candidature à des offres d’emploi ;
- Exfiltration de mots de passe hachés ;
- Bourrage d’identifiants sur un site bancaire (credential stuffing).
- Source interne de risque humain :
- Exfiltration de données d’entreprise par un employé ;
- Transmission accidentelle à un tiers.
- Appareils ou documents papier perdus ou volés :
- Matériel volé stockant des données personnelles chiffrées ;
- Matériel volé stockant des données personnelles non chiffrées ;
- Documents papier volé contenant des données sensibles.
- Erreur d’envoi :
- Erreur d’envoi postal de factures d’achat en ligne ;
- Données personnelles hautement confidentielle envoyées par courriel par erreur ;
- Données personnelles envoyées par courriel par erreur ;
- Erreur d’envoi postal de documents d’assurance.
- Ingénierie sociale :
- Vol d’identité ;
- Exfiltration de courriels.
Une traduction française de ces lignes directrices sera disponible dans les prochaines semaines.
Les lignes directrices du CEPD
Les textes de référence
- Article 33 du RGPD (notification à l'autorité de contrôle d'une violation de données personnelles)
- Article 34 du RGPD (communication à la personne concernée d'une violation de données personnelles)
- Lignes directrices du G29 de 2017 sur les notifications de violations de données en vertu du RGPD (wp250rev.01)