Aperçu de la méthodologie

Critères

Les principaux critères pris en compte lors de l'évaluation de la gravité d'une violation de données personnelles sont:

  • Contexte de traitement des données (DPC): traite du type de données violées, ainsi que d'un certain nombre de facteurs liés au contexte général du traitement.
  • Facilité d'identification (EI): détermine avec quelle facilité l'identité des individus peut être déduite des données impliquées dans la violation.
  • Circonstances de la violation (CB): traite des circonstances spécifiques de la violation, qui sont liées au type de violation, y compris principalement la perte de sécurité des données violées, ainsi que toute intention malveillante impliquée.

Calcul de la gravité

Sur la base des critères ci-dessus, l'approche de cette méthodologie est la suivante:

  • Le DPC est au cœur de la méthodologie et évalue la criticité d'un ensemble de données donné dans un contexte de traitement spécifique.
  • L'EI est un facteur de correction du DPC. La criticité globale d'un traitement de données peut être réduite en fonction de la valeur de l'EI. En d'autres termes, plus la facilité d'identification est faible, plus le score global est faible. Par conséquent, la combinaison de l'EI et du DPC (multiplication) donne le score initial de la gravité (SE) de la violation de données.
  • CB quantifie les circonstances spécifiques de la violation qui peuvent être présentes ou non dans une situation particulière. Ainsi, lorsqu'il est présent, CB ne peut qu'ajouter à la gravité d'une violation spécifique. Pour cette raison, le score initial peut être ajusté davantage par l'OC.

Ainsi, le score final de l'évaluation de la gravité peut être extrait à l'aide de la formule suivante:

SE = DPC x EI + CB

De cette manière, pour que le contrôleur obtienne le résultat de gravité, les trois critères doivent être notés.

Le résultat appartient à une certaine plage de valeurs qui correspond à l'un des quatre niveaux de gravité: faible, moyen, élevé et très élevé7. À la fin de l'évaluation, d'autres critères éventuellement pertinents (nombre d'individus et inintelligibilité des données) qui n'ont pas été pris en compte dans la méthodologie sont évalués et signalés à l'autorité compétente le cas échéant.

Il est essentiel de garder à l'esprit que tous les scores et / ou classements utilisés dans cette méthodologie ont été uniquement définis pour l'utilisation dans la formule de gravité. Elles ne sont pas censées avoir une quelconque signification pour une conclusion sur la pondération ou le classement de certains types de données en général, et encore moins une indication sur les conséquences juridiques ou les précédents quant à l'utilisation de ces données à d'autres fins.

Modifié le: Saturday 20 February 2021, 22:27