Éléments d’une évaluation d’atteinte à la vie privée

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Une évaluation de l’atteinte à la vie privée doit indiquer clairement la juridiction dans laquelle l’atteinte s’est produite. Il s’agit d’un point crucial, car chaque juridiction est assujettie à des lois et règlements distincts en matière de protection de la vie privée et des données. Il doit également préciser les artefacts d’informations personnellement identifiables (PI).

    Artifact PI

    Les artefacts PI font généralement référence aux formes physiques ou numériques d’informations personnellement identifiables qui peuvent être perdues ou volées. Il peut s’agir de données verbales (orales ou enregistrées), visuelles (imprimées ou affichées), électroniques (stockées sur des appareils ou des systèmes) ou papier (documents ou dossiers) qui contiennent des renseignements personnels. Un artefact PI contient des détails tels que la nature de l’incident, la description de la compromission, les détails du destinataire, le plan d’atténuation des risques, etc. Chaque artefact PI collecte des données pour une région et une catégorie particulières. L’image suivante montre les informations collectées à l’aide du formulaire d’artefact PI.
    Figure 1. Formulaire d’artefact PI
    Une image du formulaire d’artefacts PI et des éléments qu’il contient.
    Un artefact PI se compose des éléments suivants.
    • Éléments de données : les éléments de données sont des éléments d’information spécifiques qui font partie d’un ensemble de données plus vaste. Dans le contexte d’un incident de violation, les éléments de données font référence aux types ou catégories spécifiques de données qui sont touchés ou compromis. Des exemples d’éléments de données peuvent inclure des informations de contact (telles que des noms, des adresses, des numéros de téléphone ou des adresses e-mail), des informations médicales (telles que les antécédents médicaux, les diagnostics ou les dossiers de traitement), des informations financières (telles que des numéros de carte de crédit, des coordonnées bancaires ou des enregistrements de transactions), etc.

      Lorsqu’un incident de violation se produit, il est important d’identifier et d’évaluer quels éléments de données ont été touchés ou exposés. Cela aide à comprendre les risques et les impacts potentiels de la violation, ainsi qu’à déterminer la réponse et les mesures d’atténuation appropriées pour protéger les personnes touchées et leurs données.

      Figure 2. Formulaire d’éléments de données
      Image des éléments du formulaire d’éléments de données, tels que des informations personnelles, médicales et financières.
    • Juridiction : Pour se conformer aux différentes lois et réglementations, il est nécessaire d’identifier les juridictions spécifiques touchées lors d’une évaluation d’atteinte. Les pays sont généralement divisés en plusieurs États ou régions, chacun régi par son propre ensemble de lois. Par exemple, aux États-Unis d’Amérique, la Californie est considérée comme une juridiction avec ses propres lois applicables. Par conséquent, lorsqu’une violation se produit en Californie, les lois et règlements applicables spécifiques à la Californie sont appliqués. Les juridictions fournissent également des détails importants, tels que le nombre de personnes touchées dans cette région spécifique.