Blog Données personnelles
Adoption de la version finale des lignes directrices du CEPD relatives aux notifications de violations de données personnelles
Le 3 janvier 2022, le Comité européen de la protection des données a publié la version finale de ses lignes directrices relatives aux notifications de violations de données.
Pour rappel, le 14 janvier le CEPD avait publié une première version de ses lignes directrices qui faisaient l’objet d’une consultation publique jusqu’au 2 mars 2021.
Ces lignes directrices ont vocation à accompagner les responsables du traitement en cas de survenance d’une violation de données et à les aider à analyser la nécessité de notifier la violation à l’autorité de contrôle et à la communiquer aux personnes concernées.
Dans ses lignes directrices, le CEPD recense six catégories de causes de violations de données, fondées sur l’expérience des autorités de contrôle européennes :
- les rançongiciels : un logiciel malveillant chiffre les données à caractère personnel et l’agresseur demande ensuite au responsable du traitement une rançon en échange du déchiffrement
- les attaques par exfiltration de données : attaques ressemblant aux rançongiciels mais visant généralement à copier, exfiltrer et exploiter des données à caractère personnel à des fins malveillantes
- les risques humains en interne : erreurs humaines en interne qui peuvent être intentionnelles ou non intentionnelles
- les pertes et vols d’appareils ou documents papier : perte d’appareils ou documents contenant des données à caractère personnel
- les erreurs lors d’envois de courriers : erreurs humaines non intentionnelles dans le contenu ou le destinataire d’un courrier contenant des données à caractère personnel
- l’ingénierie sociale : usurpation d’identité, exfiltration non autorisée d’emails
Ces lignes directrices viennent compléter celles adoptées en 2017 par le G29 en adoptant une vision plus pratique et en prenant en compte de façon plus concrète les apports du RGPD.