Les circonstances de la violation (CB)
Circonstances de la violation (CB)
Les éléments pris en compte dans le cadre de l'OC sont la perte de sécurité (confidentialité, intégrité, disponibilité) et l'intention malveillante et sont complémentaires de la DPC et de l'EI, comme suit:
Perte de confidentialité: La perte de confidentialité se produit lorsque les informations sont consultées par des parties qui ne sont pas autorisées ou n'ont pas un but légitime pour y accéder. L'ampleur de la perte de confidentialité varie en fonction de la portée de la divulgation, c'est-à-dire du nombre potentiel et du type de parties susceptibles d'avoir accès illégalement aux informations.
Perte d'intégrité: la perte d'intégrité se produit lorsque les informations d'origine sont modifiées et que la substitution de données peut être préjudiciable pour l'individu. La situation la plus grave survient lorsqu'il existe de sérieuses possibilités que les données modifiées aient été utilisées d'une manière qui pourrait nuire à l'individu.
Perte de disponibilité: la perte de disponibilité se produit lorsque les données d'origine ne sont pas accessibles lorsque cela est nécessaire. Elle peut être soit temporelle (les données sont récupérables mais cela prendra un certain temps et cela peut être préjudiciable pour l'individu), soit permanente (les données ne peuvent pas être récupérées).
Intention malveillante: cet élément examine si la violation est due à une erreur ou à une erreur, humaine ou technique, ou si elle a été causée par une action intentionnelle d'intention malveillante. Les violations non malveillantes incluent les cas de perte accidentelle, d'élimination inadéquate, d'erreur humaine et de bogue logiciel ou de mauvaise configuration. Les violations malveillantes comprennent les cas de vol et de piratage visant à nuire aux individus (par exemple en exposant leurs données personnelles à des tiers non autorisés). Dans d'autres cas, une intention malveillante peut inclure le transfert de données personnelles à des tiers à des fins lucratives (par exemple, la vente de listes de données personnelles). Dans certains cas, une intention malveillante peut également être déduite d'actions visant à nuire au responsable du traitement (par exemple en volant et en exposant les données personnelles à des parties non autorisées). L'intention malveillante est un facteur qui augmente la probabilité que les données soient utilisées de manière nuisible, car c'était le but initial de la violation.
En ce qui concerne la notation CB, contrairement à DPC et EI où le score maximum atteint est choisi, les points obtenus pour chaque élément CB sont additionnés pour obtenir le score final, car différentes circonstances peuvent se produire dans la même infraction. Le tableau d'évaluation 3 fournit différents scores par élément CB et pour différents types de circonstances.