Évaluation d’atteinte à la vie privée

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • L’évaluation des atteintes à la vie privée joue un rôle important chaque fois qu’un incident menace la vie privée d’une personne. Ces évaluations aident à déterminer s’il y a eu une violation, puis servent de mesure pour évaluer l’étendue et l’impact d’une violation.

    Il existe deux façons de déclencher une évaluation d’atteinte à la vie privée : elle peut être initiée directement à partir d’un ticket de confidentialité ou vous pouvez initier l’évaluation d’atteinte à la vie privée en tant qu’évaluation autonome. Lorsqu’une évaluation est lancée en tant qu’évaluation autonome, les résultats sont analysés et un ticket de confidentialité peut être créé si nécessaire. Cette flexibilité permet aux organisations de réagir rapidement aux violations potentielles. Vous ne pouvez effectuer qu’une seule évaluation de violation pour chaque ticket de confidentialité.

    En cas de violation, des critères spécifiques, par exemple, la compromission de données personnelles d’un serveur, peuvent entraîner le lancement d’une évaluation de la violation avant de créer un dossier de confidentialité. L’objectif principal de cette évaluation est de déterminer rapidement la nature des données compromises. Par exemple, si l’incident est lié à un incident de sécurité, les analystes de sécurité sont chargés de remplir l’évaluation de la violation, en fournissant des détails sur le type d’incident, les emplacements impactés et toutes les mesures d’atténuation existantes telles que le chiffrement. Par la suite, les analystes de la protection de la vie privée examinent l’évaluation et approfondissent les détails de l’incident. Sur la base de cette analyse, un dossier de confidentialité peut être créé afin d’éviter que cela ne se reproduise et de gérer les obligations légales liées à l’atteinte.

    Éléments d’une évaluation d’atteinte à la vie privée

    Une évaluation d’atteinte à la vie privée doit indiquer clairement la juridiction dans laquelle l’atteinte s’est produite. Il s’agit d’un point crucial, car chaque juridiction est soumise à des lois et des règlements distincts en matière de protection de la vie privée et des données. Il doit également spécifier les artefacts d’informations personnellement identifiables (PI). Les termes « artefacts PI » et « juridictions » sont expliqués dans les sections suivantes.
    Artifact PI
    Les artefacts PI font généralement référence aux formes physiques ou numériques des informations personnellement identifiables qui peuvent être perdues ou volées. Il peut s’agir de données verbales (orales ou enregistrées), visuelles (imprimées ou affichées), électroniques (stockées sur des appareils ou des systèmes) ou papier (documents ou dossiers) qui contiennent des renseignements personnels. Un artefact de PI contient des détails tels que la nature de l’incident, la description de la compromission, les détails du destinataire, le plan d’atténuation des risques, etc.
    Juridiction
    Chaque pays ou région est régi par des lois et réglementations différentes. Cette différence exige que chaque juridiction touchée soit identifiée lors de l’évaluation de l’atteinte. La juridiction contient des détails tels que le nombre de personnes touchées.

    Workflow d’une évaluation d’atteinte à la vie privée

    Bien qu’une évaluation de violation puisse être initiée à partir d’Employee Center, elle peut également être initiée à partir d’une application. L’image suivante illustre le workflow d’évaluation de violation à l’aide de l’exemple d’un incident de sécurité.
    Remarque :
    Cette image utilise l’incident de sécurité uniquement comme exemple pour une meilleure compréhension du workflow.
    Figure 1. Workflow d’évaluation des atteintes à la confidentialité
    Étapes pour la création d’un ticket de confidentialité à l’aide de l’évaluation de violation.