La chance des Irlandais ? La Commission irlandaise pour la protection des données publie son rapport annuel

As shared by the Commissioner for Data Protection, Helen Dixon, “The progress the DPC has made in 2020 provides a solid platform on which to build across our enforcement and complaint-handling functions in particular. The GDPR must be understood as a project for the now, but equally for the longer-term. The DPC intends to continue as a leader in its full implementation.”

en flag
nl flag
et flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Note de l'éditeur : La Data Protection Commission (DPC) est l'autorité de surveillance irlandaise pour le règlement général sur la protection des données (GDPR). Il a également des fonctions et des pouvoirs liés à d'autres cadres réglementaires critiques, notamment les règlements irlandais sur la vie privée en ligne (2011) et la directive de l'UE connue sous le nom de directive répressive. La commissaire chargée de la protection des données, Helen Dixon, a récemment lancé le rapport annuel de la Commission irlandaise pour la protection des données pour 2020. Dans ce rapport publié récemment (25 février 2021), DPC Ireland décrit en détail l'étendue des travaux de réglementation réalisés dans le cadre de son mandat de supervision et de réglementation de l'application des lois européennes sur la protection des données et la vie privée en ligne. Dans le cadre de cette description détaillée des travaux, le DPC communique des détails sur les notifications de violation au DPC en 2020. Étant donné que les professionnels des données et du droit opérant dans l'écosystème eDiscovery cherchent à comprendre l'impact sur le marché et les opportunités découlant des violations de données, ils peuvent bénéficier des détails et des points de données partagés dans cet important rapport annuel.

DPC Irlande 2020 Rapport annuel 2020*

Extrait sur les violations (chapitre 3)

Le nombre de notifications de violation à la DPC est resté élevé en 2020, mais le DPC est plus convaincu que jamais de la valeur de l'obligation de notifier en vertu du RGDP. Il permet au DPC d'obtenir des informations sur les risques liés à la sécurité et au traitement des données personnelles qui se posent au cas par cas dans les organisations et d'intervenir et de guider les mesures d'atténuation relatives à ces risques, le cas échéant. En général, les réponses que nous recevons des organisations encouragent le DPC en estimant que la plupart des organisations souhaitent se conformer et valoriser l'apport du DPC.

Violations en vertu du RGDP

En 2020, le DPC a reçu 6 783 notifications de violation de données au titre de l'article 33 du RGPR, dont 110 cas (2 %) ont été classés comme non-violations car ils ne répondaient pas à la définition d'une violation de données personnelles telle qu'énoncée à l'article 4, paragraphe 12, du RGDP. Au total, 6 673 violations valides de protection des données ont été enregistrées par le DPC en 2020, ce qui représente une augmentation de 10 % (604) par rapport aux chiffres déclarés en 2019.

Comme les autres années, la catégorie la plus élevée de violations de données notifiées en vertu du RGDP a été classée comme divulgations non autorisées et représentait 86 % du total des notifications de violation de données reçues en 2020. La majorité des infractions se sont produites dans les :

Secteur privé : 4 097

Secteur public : 2 559

Volontaire : 16

Charité : 1

Total : 6 673

Le DPC a également constaté une augmentation du recours à l'ingénierie sociale et aux attaques par hameçonnage pour accéder aux systèmes TIC des contrôleurs et des processeurs. Bien que de nombreuses organisations aient initialement mis en place des mesures efficaces de sécurité des TIC, il est évident que les organisations ne prennent pas de mesures proactives pour surveiller et réviser ces mesures, ni pour former le personnel pour s'assurer qu'il est conscient de l'évolution des menaces. Dans ces cas, nous continuons de recommander aux organisations de procéder à des examens périodiques de leurs mesures de sécurité des TIC et de mettre en œuvre un plan de formation complet à l'intention des employés, appuyé par des programmes de recyclage et de sensibilisation visant à atténuer les risques posés par un paysage de menaces en évolution.

Notifications de violation de données par catégorie

Divulgation (non autorisée) : 5,837

Hacking : 146

Malware : 19

Hameçonnage - Ingénierie sociale compris : 74

Ransomware/Déni de service : 32

Vulnérabilité de développement logiciel : 5

Appareil perdu ou volé (crypté) : 19

Appareil perdu ou volé (non chiffré) 29

Papier perdu ou volé : 275

Déchets électroniques (Données personnelles présentes ou obsolètes Périphérique : 1

Élimination inappropriée du papier : 21

Incorrecte configuration du système : 40

Accès non autorisé : 146

Publication en ligne non prévue : 61

Autre : 78

Total : 6 783

Violation de la vie privée électronique

Le DPC a reçu un total de 70 notifications valides de violation de données en vertu du Règlement sur la protection de la vie privée électronique (IP n° 336 de 2011), ce qui représentait un peu plus de 1 % du total des cas valides notifiés pour l'année.

Violures LED

Le DPC a également reçu 25 notifications d'infraction concernant la LED (Directive (UE) 2016/680), qui a été transposée en droit irlandais par certaines parties de la loi de 2018 sur la protection des données.

Évaluation par le DPC d'une violation

Une fois qu'une notification de violation est déposée auprès du DPC, le DPC l'évalue en tenant compte des multiples aspects de la violation et des risques qu'elle présente. La première concerne la nature de la violation, y compris la question de savoir si elle a été intentionnellement ou accidentellement, si les données ont été exfiltrées ou rendues inaccessibles, et les modes de technologie et d'organisation impliqués. Les antécédents de violation d'un type particulier peuvent indiquer un problème systémique affectant un contrôleur de données individuel, un lieu particulier ou un secteur économique tout entier. Les caractéristiques des données personnelles concernées sont au cœur de l'évaluation du DPC. Il s'agit notamment du type, du format et de la sensibilité des données personnelles, du nombre de personnes et d'enregistrements concernés, ainsi que du potentiel de lecture ou de diffusion des données. Le DPC examinera si des aspects tels que le profilage, la prise de décision automatisée, la surveillance ou le suivi ont été pris en compte.

De même, la catégorisation des personnes concernées (par exemple, qu'il s'agisse d'enfants ou de personnes vulnérables) et les caractéristiques du responsable du traitement et/ou du sous-traitant, telles que les responsabilités légales ou le traitement d'autres types de données à caractère personnel, peuvent être très significatives. Le volume des personnes concernées et la localisation de ces personnes sont pris en compte.

Les autres facteurs à prendre en compte sont les préjudices potentiels causés aux personnes concernées par la divulgation, l'utilisation abusive ou la perte de données personnelles affectées par la violation. Cet aspect de l'évaluation des risques est souvent négligé par les responsables du traitement des données. Les préjudices peuvent aller de désagréments temporaires à des risques très graves, tels que le vol d'identité, la perte financière et le mauvais diagnostic des problèmes médicaux ou des atteintes à la réputation. Le DPC examinera les répercussions sur les personnes touchées, y compris la gravité, la portée et le contexte des personnes concernées.

Enfin, le DPC évalue les facteurs atténuants, tels que la disponibilité des sauvegardes, les vulnérabilités sont corrigées, et si les données sont récupérées ou si la divulgation ultérieure est empêchée. Souvent, les responsables du traitement des données ne mettent pas en œuvre des mesures simples telles que le chiffrement des informations partagées par courrier électronique, en veillant à ce que toutes les mesures de sécurité informatique soient en place, mais aussi régulièrement mises à jour. Ces facteurs sont pris en considération dans l'évaluation.

Si les faits ne sont pas entièrement connus ou demeurent inclairs après l'évaluation initiale d'une violation par le DPC, ils continueront de communiquer avec le contrôleur jusqu'à ce que toutes les questions aient été réglées, à la satisfaction du DPC. Dans certains cas, le responsable du traitement ou le sous-traitant peut être invité à réévaluer les causes et les conséquences de la violation et à rendre compte de ses constatations. Les manquements impliquant des problèmes informatiques complexes peuvent nécessiter une évaluation et une analyse par les spécialistes techniques du DPC. Dans les cas où le responsable du traitement a produit ou commandé un rapport technique ou un rapport d'enquête sur la violation, une copie de ce rapport sera demandée.

En attendant l'achèvement de son enquête, le DPC peut diriger et suivre les progrès — sur une base continue — des mesures mises en œuvre pour remédier ou atténuer les effets de la violation. Il pourrait s'agir d'informer les personnes concernées de la violation prévue à l'article 34 du RGDP ou de mettre en œuvre des mesures techniques ou organisationnelles pour remédier aux vulnérabilités.

Sur la base de son évaluation et des mesures prises par le responsable du traitement pour prévenir ou atténuer d'autres incidents similaires, le DPC peut conclure son enquête à ce stade. Si le DPC n'est pas satisfait des mesures d'atténuation ou des réponses de la part du contrôleur, il peut faire grimper la question pour d'autres mesures d'enquête ou d'application de la loi.

Passer en revue le rapport complet (PDF)

Rapport annuel de DPC 2020 (anglais)

Lisez le billet original via le site Internet de la Commission pour la protection des données (DPC Ireland).

* Note d'information protégée par le droit d'auteur partagée avec autorisation conformément à la réutilisation des informations de la section publique

Lecture supplémentaire

La Commission de la protection des données (DPC) Irlande

Mise à jour irlandaise : DPC Ireland publie un rapport d'activité réglementaire du RGDP (2018-2020)

Source : ComplexDiscovery

Avis de cybersécurité conjoint de la CISA, du FBI et de la NSA sur BlackMatter Ransomware

This Joint Cybersecurity Advisory from the CISA, FBI, and NSA provides...

Garder des secrets ? Tendances des ransomwares dans les données de la Bank Secrecy Act entre janvier 2021 et juin 2021

According to a recently published report, the U.S. Treasury's Financial Crimes...

Une représentation géographique : les attaques de ransomwares aux États-Unis entre 2018 et aujourd'hui

Published by Comparitech, a pro-consumer website providing information, tools, reviews, and...

Recommandations pour atténuer le risque de vulnérabilités logicielles : NIST Secure Software Development Framework

This draft document from NIST on a proposed secure software development...

Consilio achève l'acquisition des unités commerciales Legal Consulting et eDiscovery de Special Counsel d'Adecco

According to Andy Macdonald, CEO of Consilio, “Consilio’s acquisition of D4...

Cellebrite va acquérir des indices numériques

According to Cellebrite CEO Yossi Carmil, “We are pleased to announce...

Iconect acquiert la base de code d'intelligence artificielle Ayfie Inspector

According to Ian Campbell, CEO of iCONECT, “Direct access to the...

Fusions, acquisitions et investissements eDiscovery au troisième trimestre 2021

From Ipro and Disco to Nuix and Lighthouse, the following findings,...

Une nouvelle ère dans l'e-Discovery ? Encadrer la croissance du marché à travers l'objectif de six époques

There are many excellent resources for considering chronological and historiographical approaches...

Un mashup de taille de marché électronique : 2020-2025 Présentation mondiale des logiciels et des services

While the Compound Annual Growth Rate (CAGR) for worldwide eDiscovery software...

Réinitialiser la ligne de base ? Ajustements de taille de marché eDiscovery pour 2020

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

À la maison ou à l'extérieur ? Considérations relatives à la taille du marché et à la tarification des collections eDis

One of the key home (onsite) or away (remote) decisions that...

Cinq bonnes lectures sur la cybersécurité, les données et la découverte juridique pour septembre 2021

From countering ransomware to predictive coding and packaged services, the September...

Cinq bonnes lectures sur les cyberdonnées, les données et la découverte juridique pour août 2021

From the interplay of digital forensics in eDiscovery to collecting online...

Cinq bonnes lectures sur les cyberdonnées, les données et la découverte juridique pour juillet 2021

From considerations for cyber insurance and malware to eDiscovery business confidence...

Cinq bonnes lectures sur eDiscovery pour juin 2021

From remediating cyberattacks to eDiscovery pricing, the June 2021 edition of...

La période des récoltes ? Mesures opérationnelles d'eDiscovery à l'automne 2021

In the fall of 2021, 67 eDiscovery Business Confidence Survey participants...

Insaisonnablement chaud ? Résultats de l'enquête sur la confiance des entreprises eDiscovery de

Since January 2016, 2,595 individual responses to twenty-four quarterly eDiscovery Business...

Plus de gardiens ? Enquête sur les technologies et protocoles de codage prédictif — Résultats de l'automne 2021

From the most prevalent predictive coding platforms to the least commonly...

Les attentes éclatantes ? Dix-huit observations sur la confiance des entreprises eDiscovery à l'été 2021

In the summer of 2021, 63.3% of survey respondents felt that...