Éléments d’une évaluation d’atteinte à la vie privée

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Une évaluation de l’atteinte à la vie privée doit indiquer clairement la juridiction dans laquelle l’atteinte s’est produite. Ceci est crucial car chaque juridiction fonctionne selon des lois et réglementations distinctes relatives à la confidentialité et à la protection des données. Elle doit également spécifier les artefacts des informations personnellement identifiables (IP).

    Artifact PI

    Les artefacts PI désignent généralement les formes physiques ou numériques d’informations personnelles identifiables qui peuvent être perdues ou volées. Ces artefacts peuvent comprendre des données verbales (orales ou enregistrées), visuelles (imprimées ou affichées), électroniques (stockées sur des appareils ou des systèmes) ou sur papier (documents ou dossiers) qui contiennent des renseignements personnels. Un artefact PI contient des détails tels que la nature de l’incident, la description de la compromission, les détails sur le destinataire, le plan d’atténuation des risques, etc. Chaque artefact PI collecte des données pour une région et une catégorie particulières. L’image suivante montre les informations collectées à l’aide du formulaire d’artefact PI.
    Figure 1. Formulaire d’artefact PI
    Une image du formulaire des artefacts PI et des éléments qu’il contient.
    Un artefact PI se compose des éléments suivants.
    • Éléments de données : Les éléments de données sont des éléments d’information spécifiques qui font partie d’un ensemble de données plus vaste. Dans le contexte d’un incident, les éléments de données désignent des types ou des catégories spécifiques de données qui sont impactées ou compromises. Les exemples d’éléments de données peuvent inclure des informations de contact (telles que des noms, adresses, numéros de téléphone ou adresses e-mail), des informations médicales (telles que les antécédents médicaux, les diagnostics ou les dossiers de traitement), des informations financières (telles que des numéros de carte de crédit, des détails de compte bancaire ou des relevés de transactions), etc.

      Lorsqu’un incident de violation se produit, il est important d’identifier et d’évaluer quels éléments de données ont été affectés ou exposés. Cela permet de comprendre les risques et les impacts potentiels de la violation, ainsi que de déterminer la réponse appropriée et les mesures d’atténuation pour protéger les personnes touchées et leurs données.

      Figure 2. Formulaire d’éléments de données
      Image des éléments du formulaire d’éléments de données, tels que les informations personnelles, médicales et financières.
    • Juridiction : Pour se conformer aux différentes lois et réglementations, il est nécessaire d’identifier les juridictions spécifiques impactées lors d’une évaluation des violations. Les pays sont généralement divisés en plusieurs États ou régions, chacun régi par son propre ensemble de lois. Par exemple, aux États-Unis d’Amérique, la Californie est considérée comme une juridiction ayant ses propres lois en vigueur. Par conséquent, lorsqu’une violation se produit en Californie, les lois et réglementations applicables spécifiques à la Californie sont appliquées. Les juridictions fournissent également des détails importants, tels que le nombre de personnes touchées dans cette région spécifique.