L’Autorité de contrôle de la protection des données, par sa newsletter 472 du 25 janvier 2021 a communiqué que le 14 janvier dernier, le CEPD (le « Comité Européen de la Protection des Données ») a adopté de nouvelles Lignes directrices (« Guidelines 01/2021 on Examples regarding Data Breach Notification », les « Lignes directrices ») destinées à aider entreprises et administration à prendre en charge correctement les violations de données personnelles et à définir les processus de gestion du risque.
Ce document vient s’ajouter aux lignes directrices précédentes du Groupe de travail 29 (« Guidelines on Personal data breach notification under Regulation 2016/679 ») qui prévoient quant à elles une analyse technique et théorique des dispositions du Règlement (UE) 2016/697 (le « Règlement ») en matière de violation de données personnelles (ou « Data Breach »).
À la lumière des principes de sécurité des informations, en renvoyant à l’« Opinion 3/2014 » et les « Guidelines WP 250 », le CEPD fournit un classement des différents types de violations, à savoir :
- « violations de la confidentialité » – qui se produisent en cas de divulgation non autorisée ou d’accès non autorisé aux données personnelles ;
- « violations de l’intégrité » – qui se produisent en cas d’altération non autorisée ou accidentelle des données personnelles ;
- « violations de la disponibilité » – qui se produisent en cas de perte accidentelle ou d’accès autorisé ou de destruction de données personnelles.
Les Lignes directrices, en vue de fournir des informations utiles aux Responsables de traitement et aux sous-traitants pour prendre en charge correctement une violation de données personnelles, indiquent les écueils à éviter (ex. : ne pas crypter les données) et prévoient de nombreuses études de cas qui ont impliqué, dans différents pays européens, hôpitaux, banques, entreprises et sociétés de services en ligne de différents types.
Ces cas décrivent les mesures préventives pouvant être adoptées et suggèrent les modalités de mise en œuvre du risk assessment par rapport à la violation subie, les mesure potentielles à adopter pour réduire les risques et les obligations légales à respecter.
Le CEPD a lancé une consultation publique européenne sur le document qui se conclura le 2 mars 2021.
Autres insights connexes: