Une violation de données personnelles se définit comme "une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données". Cette définition englobe trois grands types de violations :
- Atteinte à la confidentialité : divulgation ou accès non autorisé aux données
- Atteinte à l'intégrité : altération non autorisée des données
- Atteinte à la disponibilité : perte ou destruction des données, rendant leur accès impossible
L'Évaluation des Risques : Une Obligation Première
Pourquoi Évaluer avant d'Agir ?
L'article 33 du RGPD stipule clairement que la notification à la CNIL n'est obligatoire que si la violation "est susceptible d'engendrer un risque pour les droits et libertés des personnes physiques". Cette évaluation préalable constitue donc la pierre angulaire de la gestion des violations de données. Elle permet de déterminer les actions appropriées selon le niveau de risque identifié.
Les Critères d'Évaluation du Risque
Pour évaluer correctement le niveau de risque, plusieurs facteurs doivent être analysés conjointement :
Nature des données affectées :
- Données sensibles (santé, origine raciale, opinions politiques)
- Données relatives aux infractions et condamnations
- Données à caractère hautement personnel
- Données financières ou d'identité
Ampleur de la violation :
- Volume de données concernées
- Nombre de personnes affectées
- Facilité d'identification des personnes grâce aux données compromises
Conséquences potentielles :
- Risque d'usurpation d'identité
- Fraude financière
- Atteinte à la réputation
- Discrimination ou chantage
- Perte de confidentialité professionnelle
Catégories de personnes concernées (liste non exhaustive) :
- Personnes vulnérables (mineurs, personnes âgées)
- Employés en situation de déséquilibre
- Patients dans le domaine médical
