Gravité de la violation des données

Comment la gravité de la violation des données est-elle calculée dans le cadre du règlement GDPR ?

Ce n'est pas un calcul mathématique et cela dépendra du régulateur. Le régulateur examinera certains points :

TÉLÉCHARGEZ NOTRE EBOOK GRATUIT

  • Type de violation. Que la violation concerne le divulgation de données personnelles (a "violation de la confidentialité"), la perte d'accès ou la destruction de données à caractère personnel (un "violation de disponibilité"), et/ou l'altération de données à caractère personnel (un "violation de l'intégrité") peut affecter le risque pour les personnes concernées.
  • Nature, sensibilité et volume des données personnelles. Les lignes directrices indiquent que les violations impliquant des données personnelles sensibles - y compris les "catégories spéciales" de données relatives à l'origine raciale ou ethnique, aux opinions politiques, à la sexualité, aux convictions religieuses ou philosophiques, à l'appartenance syndicale, à la santé ou aux données génétiques, ou aux condamnations pénales, et d'autres données sensibles telles que les documents d'identité ou les données financières - sont plus susceptibles de présenter un risque élevé. Les violations impliquant une combinaison de données personnelles sont généralement plus risquées que celles impliquant une seule donnée personnelle (non sensible).
  • La gravité des conséquences pour les individus. Les lignes directrices soulignent vol d'identitéLes conséquences potentielles les plus graves sont la fraude, les dommages physiques, la détresse psychologique, l'humiliation et l'atteinte à la réputation. La permanence des conséquences et, dans le cas d'une violation de la confidentialité, la fiabilité ou la malveillance du destinataire non autorisé des données personnelles sont également des facteurs à prendre en considération.
  • Nombre et caractéristiques des personnes touchées. Les lignes directrices notent que l'impact de la violation est susceptible d'être plus important lorsqu'un plus grand nombre de personnes sont touchées. Les violations qui touchent des enfants ou d'autres personnes vulnérables peuvent présenter un risque plus élevé que celles qui ne le font pas.
  • Facilité d'identification des individus des données personnelles concernées, y compris si les données sont pseudonymes.

Gravité de la violation des données Comment le régulateur la calcule-t-il 1

Que faire en matière de gravité des violations de données ?

Mais le plus important est de montrer que votre entreprise a fait de son mieux :

  • avez-vous notifié la violation des données à l'autorité de réglementation 72 heures après en avoir pris connaissance ?
  • Avez-vous enregistré le violation des données?
  • Travaillez-vous sur la confidentialité des données dès la conception et confidentialité des données par défaut ?
  • Avez-vous fait une DPIA ?

Notification des violations de données en vertu du GDPR - 10 questions fréquemment posées