Modèle d'auditPIA (CNIL) - Analyse d'impact sur la vie privée

Il peut s'agir des référentiels de la CNIL, des recommandations, des codes de conduite sectoriels ou encore des certifications prévues par le RGPD.

Une donnée à caractère personnel, plus couramment désignée "donnée personnelle" est constituée par toute information se rapportant à une personne physique identifiée ou identifiable.

▶ L'information peut avoir toute nature : un texte, une image, du code informatique, une parole quelqu'en soit le support.

▶ L'information concerne une personne et une seule, et non un groupe de personnes. L'information ne doit pas uniquement désigner la personne mais lui être attribuée. Par exemple, un commentaire pourra ne pas mentionner le nom d'une personne mais concerner cette personne uniquement. Il s'agit d'une donnée à caractère personnel.

▶ Cela signifie qu'elle concerne un être humain et non un animal, une entreprise ou une association. Le droit de la protection des données personnelles fait partie des droits fondamentaux de l'Homme ("human rights").

▶ La personne doit pouvoir être identifiée, c'est à dire directement lorsque l'information se rapporte directement à la personne (par exemple, son nom et son prénom) ou indirectement. C'est le cas lorsqu'une information croisée à d'autres permettront d'identifier la personne.

Une durée de conservation doit être définie pour chaque type de données et justifiée par les besoins du traitement et/ou des contraintes légales.

On distingue ainsi les données courantes et les données archivées dont l’accès sera restreint aux seuls acteurs concernées. Un mécanisme de suppression doit être implémenté pour archiver les données courantes ou purger les données archivées à la fin de leur période de conservation.

Les destinataires correspondent à toutes les entités qui vont accéder aux données autres que les autorités publiques (tiers autorisés tels que la CNIL, la police judiciaire dans le cadre d’une enquête judiciaire ou l’administration fiscale par exemple).

Il s’agit des services internes du responsable de traitement (le service RH par exemple), des sous-traitants, des responsables conjoints, des autres responsables de traitement (partenaires commerciaux par exemple).

Précisez également qui a accès aux données. Parfois des destinataires n'ont pas nécessairement accès aux données.

Selon la politique d'habilitation, seules certaines personnes peuvent avoir accès aux informations en clair.

Commencez par la collecte directe auprès de la personne concernée ou indirecte et décrivez son parcours, les acteurs qu'elle rencontre, les utilisations qui en sont faites et sa fin de vie.

Vous devez décrire chaque processus mis en oeuvre (par exemple, la transmission à un prestataire, la collecte des données, la mise en archivage ou encore la suppression).

Toute finalité doit être déterminée.

C'est-à-dire suffisamment définie pour permettre la mise en œuvre de toutes les garanties nécessaires en matière de protection des données et pour délimiter la portée du traitement.

Le but de la collecte doit être clairement et spécifiquement identifié. La finalité ne peut pas trop vague ou générale.

Le fait que les informations doivent être précises ne signifie pas que des spécifications plus longues et plus détaillées soient toujours nécessaires ou utiles. En effet, une description détaillée peut parfois même être contre-productive. Cela peut notamment être le cas si les spécifications écrites et détaillées de la finalité sont trop légalistes et fournissent des avertissements plutôt que des informations utiles aux personnes concernées et aux autres parties prenantes.

Les finalités doivent être explicites.

C'est à dire clairement révélées, expliquées ou exprimées dans une forme intelligible.

L'objectif ultime de cette exigence est de s'assurer que les objectifs sont spécifiés sans aucune ambiguïté quant à leur signification ou leur intention. Ce qui est signifié doit être clair et ne doit ne laisser aucun doute ou difficulté de compréhension.

Cela permet de contribuer à la transparence et à la prédictibilité.

Les finalités doivent être légitimes.

L'exigence de légitimité signifie que les objectifs doivent être "conformes à la loi" au sens le plus large.

Cela va au delà de l'exigence de la base légale du traitement.

Dans les limites de la loi, d'autres éléments tels que les coutumes, les codes de conduite, les codes d'éthique, les accords contractuels, ainsi que le contexte général et les faits de l'activité, peuvent également être pris en compte pour déterminer si un objectif particulier est légitime. Il s'agira notamment de nature de la relation sous-jacente entre le responsable du traitement et les personnes concernées, qu'elle soit qu'elle soit commerciale ou autre.

Par exemple, une entreprise segmente ses clients en deux groupes en fonction de leur profil ethnique : elle pratique des prix plus élevés pour les clients " blancs " que pour les clients " asiatiques ". Dans ce cas le traitement donne lieu à des pratiques discriminatoires, ce qui n'est pas légitime.

Le traitement n'est licite que si, et dans la mesure où, au moins une des 6 conditions suivantes est remplie:

▶ La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;

▶ Le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;

▶ Le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;

▶ Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique;

▶ Le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;

▶ Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Le principe de minimisation prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Les bonnes questions à se poser :

• De quelles données ai-je vraiment besoin pour atteindre l’objectif fixé à mon fichier ?

• Ai-je bien distingué les données obligatoires des données facultatives ? 

• Les données que je recueille sont-elles objectives ?

• Pourrai-je en toute transparence, donner accès à toute personne qui en fait la demande à l’ensemble des données que je détiens sur elle ?

• Est-ce que je recueille des données sensibles ? Ai-je le droit de collecter ces données ? Est-ce justifié au regard de mes missions ?  Puis-je faire autrement ?

L'exactitude des données est prévue par l'article 5.1 d) du RGPD.

Un contrôle qualité doit être assuré sur les données afin qu'elles soient exactes et puissent répondre à l'objectif du traitement.

En cas d'inexactitude, les données doivent être rectifiées ou effacées sans tarder.

Des processus de qualité doivent être mis en place. Par exemple, le contrôle des données par l'utilisateur .

Une durée de conservation doit être définie pour chaque type de données et justifiée par les besoins du traitement et/ou des contraintes légales.

On distingue ainsi les données courantes et les données archivées dont l’accès sera restreint aux seuls acteurs concernées. Un mécanisme de suppression doit être implémenté pour archiver les données courantes ou purger les données archivées à la fin de leur période de conservation.

Les traces fonctionnelles devront également être purgées, tout comme les logs techniques qui ne pourront pas être conservés indéfiniment.

Des dérogations à l'information sont possibles en cas de collecte directe des données pour «lorsque, et dans la mesure où, la personne concernée dispose déjà de ces informations».

En cas de collecte directe, l'information peut ne pas être délivrée :

• dans le cas où communication de ces informations est impossible ou exigerait des efforts disproportionnés ;

• dans le cas où le droit national ou de l'UE prévoit que l'exemption

• ou dans le cas d'une obligation de secret professionnel.

L'information doit être lisible et compréhensible. Elle doit comprendre les éléments suivants :

• Identité et coordonnées du responsable du traitement

• La liste des finalités et bases légales associées

• Le caractère obligatoire ou facultatif du recueil des données

• La liste des destinataires ou catégories de destinataires des données ainsi que les transferts hors EEE

• La durée de conservation des données (ou critères permettant de la déterminer)

• Les droits des personnes concernées

• Les coordonnées du délégué à la protection des données de l’organisme, s’il a été désigné, ou d’un point de contact sur les questions de protection des données personnelles

• Le droit d’introduire une réclamation auprès d'une autorité de contrôle

• L'existence d'une prise de décision automatisée, y compris un profilage

Et en cas de collecte indirecte des données :

• Les catégories de données personnelles

• La source des données

La collecte est indirecte dès lors que les données ne sont pas connectées auprès des personnes concernées. Par exemple, par le biais d'un tiers ou encore dès lors qu'elles proviennent d'une base de données publique.

Le consentement est l'une des six bases légales prévues par le RGPD pour traiter des données.

Il doit répondre aux conditions suivantes :

Libre : ne pas accepter ne doit pas avoir de conséquences négatives

Spécifique : on doit savoir à quoi on consent et on doit consentir par finalité

Éclairé : on doit être pleinement informé sur le traitement avant de consentir, a minima sur :

• l'identité du responsables de traitement

• la finalité

• l'existence du droit de retirer son consentement.

L'information doit ensuite être complétée par un charte de données personnelles ou une politique de confidentialité.

Univoque : action positive de la personne. La personne doit dire OUI ! Les cases du consentement ne doivent pas être cochées par défaut.

Documenté : le consentement doit être prouvé.

La gestion du droit d'accès implique de se poser les questions suivantes :

• Est ce que les personnes peuvent accéder à l’ensemble des données personnelles, via les interfaces courantes ?

• Peuvent-elles consulter, de manière sécurisée, les traces d’utilisation qui les concernent ?

• Peuvent-elles télécharger une archive de l’ensemble des données à caractère personnel ?

Par exemple, si vous utilisez Dastra pour la gestion des droits, vous pouvez indiquer le processus mis en oeuvre (widget, gestion de la demande, transmission des informations via plateforme sécurisée etc.).

Le droit à la portabilité est applicable pour les traitements qui reposent sur la base légale du contrat ou du consentement et qui sont automatisés.

Il doit prévoir la possibilité de récupérer, sous une forme aisément réutilisable, les données personnelles qui ont été fournies par la personne concernée, afin de pouvoir les transférer à un service tiers

Le droit à l'effacement peut être exempté en cas de :

• exercice du droit à la liberté d'expression et d'information

• respect d'une obligation légale

• motif d'intérêt public dans le domaine de la santé

• archive, recherche scientifique ou historique et statistiques si la suppression rend impossible le traitement

• constatation, exercice ou défense d'un droit en justice

A noter : les données de connexion ne peuvent pas être rectifiées par nature et on ne peut pas s'y opposer en raison d'un motif impérieux du responsable du traitement.

Si le traitement est basé le consentement ou une obligation légale, le droit d'opposition ne s'applique pas.

Le sous-traitant est défini comme la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Le sous-traitant a pour mission d’exécuter des tâches sur les instructions et sous la responsabilité du responsable de traitement.

En pratique, il s'agit la plupart du temps des prestataires qui interviennent dans le traitement des données. On pense naturellement à l'hébergeur de données ou encore à un centre d'appel dans le cadre d'un service clientèle.

Le RGPD prévoit un certain nombre d'obligations à la charge du sous-traitant, en particulier en matière de sécurité des données et de respect des clauses contractuelles prévues à l'article 28 du règlement.

• Le contrat doit comprendre :

• durée,

• périmètre,

• finalité,

• des instructions de traitement documentées,

• l’autorisation préalable en cas de recours à un sous-traitant, mise à disposition de toute documentation apportant la preuve du respect du RGPD,

• notification immédiate de toute violation de données,

• etc.

On parle de transfert de données personnelles lorsque les données personnelles sont transférées depuis le territoire européen vers un ou des pays situés hors de l'Union européenne. Le transfert peut s’effectuer, par copie, par déplacement de données, par l’intermédiaire d’un réseau ou d’un support à un autre (exemple d’un disque dur d’ordinateur à un serveur).

Exemple 1 - Une entreprise souhaite sous-traiter la gestion des relances téléphoniques de ses clients à une société située dans un pays situé hors de l’Union européenne.

Exemple 2 - Les données des salariés d’une multinationale sont centralisées par la maison mère située aux Etats-Unis. Les données personnelles des salariés français font donc l’objet d’un transfert vers les Etats-Unis.

Les outils encadrant les transferts sont :

• Clauses contractuelles type

• Décision d'adéquation

• Règles internes d'entreprise

• Arrangement administratif

• Dérogation prévue à l'article 49 du RGPD

• Code de conduite ou mécanisme de certification

Mode opératoire composé d'une ou plusieurs actions unitaires sur des supports de données. La menace peut être utilisée, volontairement ou non, par des sources de risques, et peut alors provoquer un événement redouté.

Personne, interne ou externe à l'organisme, agissant de manière accidentelle ou délibérée (ex : administrateur informatique, utilisateur, attaquant externe, concurrent), ou source non humaine (ex : eau, matériaux dangereux, virus informatique non ciblé) qui peut être à l’origine d’un risque.

La gravité représente l’ampleur d’un risque. Elle dépend essentiellement du caractère préjudiciable des impacts potentiels.

Négligeable :

Les personnes concernées ne seront pas impactées ou pourraient connaître quelques désagréments, qu’elles surmonteront sans difficulté.
Exemples d'impacts :
- corporels : maux de tête passagers
- matériels : perte de temps pour réitérer des démarches ou pour attendre de les réaliser, réutilisation des données à des fins de publicité ciblée pour des produits de consommation courante, etc.,
- moraux : simple contrariété, sentiment d'atteinte à la vie privée sans préjudice réel (intrusion commerciale), etc.

Limitée :

Les personnes concernées pourraient connaître des désagréments significatifs, qu’elles pourront surmonter malgré quelques difficultés
Exemples d'impacts :
- corporels : affection physique mineure (ex. : maladie bénigne suite au non respect de contre-indications), diffamation donnant lieu à des représailles physiques, etc.
- matériels : paiements non prévus (ex. : amendes erronées), refus d’accès à des services administratifs ou commerciaux, publicité ciblée en ligne sur un aspect vie privée que la personne souhaitait garder confidentiel , etc.
- moraux : affection psychologique mineure mais objective, sentiment d’atteinte à la vie privée sans préjudice irrémédiable, intimidation sur les réseaux sociaux, etc.

Importante :

Les personnes concernées pourraient connaître des conséquences significatives, qu’elles devraient pouvoir surmonter, mais avec des difficultés réelles et significatives
Exemples d'impacts :
- corporels : affection physique grave causant un préjudice à long terme (aggravation de l’état de santé suite à une mauvaise prise en charge, ou au non respect de contre-indications), altération de l’intégrité corporelle, etc.
- matériels : détournements d’argent non indemnisé, opportunités ciblées, uniques et non récurrentes, perdues (prêt immobilier, études, stages ou emploi, interdiction d’examen), perte de logement, perte d’emploi, etc.
- moraux : Affection psychologique grave (dépression, phobie), sentiment d’atteinte à la vie privée et de préjudice irrémédiable, victime de chantage, cyberbullying et harcèlement moral, etc.

Maximale :

Les personnes concernées pourraient connaître des conséquences significatives, voire irrémédiables, qu’elles pourraient ne pas surmonter
Exemples d'impacts :
- corporels : affection physique de longue durée ou permanente, altération définitive de l’intégrité physique, décès
- matériels : péril financier, dettes importantes, impossibilité de travailler, impossibilité de se reloger, perte de preuves dans le cadre d’un contentieux, perte d’accès à une infrastructure vitale (eau, électricité),etc.
- moraux : affection psychologique de longue durée ou permanente, sanction pénale, enlèvement, perte de lien familial, impossibilité d’ester en justice, changement de statut administratif et/ou perte d’autonomie juridique (tutelle), etc.

La vraisemblance traduit la possibilité qu’un risque se réalise. Elle dépend essentiellement des vulnérabilités des supports face aux menaces et des capacités des sources de risques à les exploiter.

Négligeable :

Il ne semble pas possible que les sources de risques retenues puissent réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papiers stockés dans un local de l’organisme dont l’accès est contrôlé par badge et code d’accès).

Limitée :

Il semble difficile pour les sources de risques retenues de réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papiers stockés dans un local de l’organisme dont l’accès est contrôlé par badge).

Importante :

il semble possible pour les sources de risques retenues de réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papiers stockés dans les bureaux d’un organisme dont l’accès est contrôlé par une personne à l’accueil).

Maximale :

il semble extrêmement facile pour les sources de risques retenues de réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papier stockés dans le hall public de l’organisme).

Mode opératoire composé d'une ou plusieurs actions unitaires sur des supports de données. La menace peut être utilisée, volontairement ou non, par des sources de risques, et peut alors provoquer un événement redouté.

Personne, interne ou externe à l'organisme, agissant de manière accidentelle ou délibérée (ex : administrateur informatique, utilisateur, attaquant externe, concurrent), ou source non humaine (ex : eau, matériaux dangereux, virus informatique non ciblé) qui peut être à l’origine d’un risque.

La gravité représente l’ampleur d’un risque. Elle dépend essentiellement du caractère préjudiciable des impacts potentiels.

Négligeable :

Les personnes concernées ne seront pas impactées ou pourraient connaître quelques désagréments, qu’elles surmonteront sans difficulté.
Exemples d'impacts :
- corporels : maux de tête passagers
- matériels : perte de temps pour réitérer des démarches ou pour attendre de les réaliser, réutilisation des données à des fins de publicité ciblée pour des produits de consommation courante, etc.,
- moraux : simple contrariété, sentiment d'atteinte à la vie privée sans préjudice réel (intrusion commerciale), etc.

Limitée :

Les personnes concernées pourraient connaître des désagréments significatifs, qu’elles pourront surmonter malgré quelques difficultés
Exemples d'impacts :
- corporels : affection physique mineure (ex. : maladie bénigne suite au non respect de contre-indications), diffamation donnant lieu à des représailles physiques, etc.
- matériels : paiements non prévus (ex. : amendes erronées), refus d’accès à des services administratifs ou commerciaux, publicité ciblée en ligne sur un aspect vie privée que la personne souhaitait garder confidentiel , etc.
- moraux : affection psychologique mineure mais objective, sentiment d’atteinte à la vie privée sans préjudice irrémédiable, intimidation sur les réseaux sociaux, etc.

Importante :

Les personnes concernées pourraient connaître des conséquences significatives, qu’elles devraient pouvoir surmonter, mais avec des difficultés réelles et significatives
Exemples d'impacts :
- corporels : affection physique grave causant un préjudice à long terme (aggravation de l’état de santé suite à une mauvaise prise en charge, ou au non respect de contre-indications), altération de l’intégrité corporelle, etc.
- matériels : détournements d’argent non indemnisé, opportunités ciblées, uniques et non récurrentes, perdues (prêt immobilier, études, stages ou emploi, interdiction d’examen), perte de logement, perte d’emploi, etc.
- moraux : Affection psychologique grave (dépression, phobie), sentiment d’atteinte à la vie privée et de préjudice irrémédiable, victime de chantage, cyberbullying et harcèlement moral, etc.

Maximale :

Les personnes concernées pourraient connaître des conséquences significatives, voire irrémédiables, qu’elles pourraient ne pas surmonter
Exemples d'impacts :
- corporels : affection physique de longue durée ou permanente, altération définitive de l’intégrité physique, décès
- matériels : péril financier, dettes importantes, impossibilité de travailler, impossibilité de se reloger, perte de preuves dans le cadre d’un contentieux, perte d’accès à une infrastructure vitale (eau, électricité),etc.
- moraux : affection psychologique de longue durée ou permanente, sanction pénale, enlèvement, perte de lien familial, impossibilité d’ester en justice, changement de statut administratif et/ou perte d’autonomie juridique (tutelle), etc.

La vraisemblance traduit la possibilité qu’un risque se réalise. Elle dépend essentiellement des vulnérabilités des supports face aux menaces et des capacités des sources de risques à les exploiter.

Négligeable :

Il ne semble pas possible que les sources de risques retenues puissent réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papiers stockés dans un local de l’organisme dont l’accès est contrôlé par badge et code d’accès).

Limitée :

Il semble difficile pour les sources de risques retenues de réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papiers stockés dans un local de l’organisme dont l’accès est contrôlé par badge).

Importante :

il semble possible pour les sources de risques retenues de réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papiers stockés dans les bureaux d’un organisme dont l’accès est contrôlé par une personne à l’accueil).

Maximale :

il semble extrêmement facile pour les sources de risques retenues de réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papier stockés dans le hall public de l’organisme).

Mode opératoire composé d'une ou plusieurs actions unitaires sur des supports de données. La menace peut être utilisée, volontairement ou non, par des sources de risques, et peut alors provoquer un événement redouté.

Personne, interne ou externe à l'organisme, agissant de manière accidentelle ou délibérée (ex : administrateur informatique, utilisateur, attaquant externe, concurrent), ou source non humaine (ex : eau, matériaux dangereux, virus informatique non ciblé) qui peut être à l’origine d’un risque.

La gravité représente l’ampleur d’un risque. Elle dépend essentiellement du caractère préjudiciable des impacts potentiels.

Négligeable :

Les personnes concernées ne seront pas impactées ou pourraient connaître quelques désagréments, qu’elles surmonteront sans difficulté.
Exemples d'impacts :
- corporels : maux de tête passagers
- matériels : perte de temps pour réitérer des démarches ou pour attendre de les réaliser, réutilisation des données à des fins de publicité ciblée pour des produits de consommation courante, etc.,
- moraux : simple contrariété, sentiment d'atteinte à la vie privée sans préjudice réel (intrusion commerciale), etc.

Limitée :

Les personnes concernées pourraient connaître des désagréments significatifs, qu’elles pourront surmonter malgré quelques difficultés
Exemples d'impacts :
- corporels : affection physique mineure (ex. : maladie bénigne suite au non respect de contre-indications), diffamation donnant lieu à des représailles physiques, etc.
- matériels : paiements non prévus (ex. : amendes erronées), refus d’accès à des services administratifs ou commerciaux, publicité ciblée en ligne sur un aspect vie privée que la personne souhaitait garder confidentiel , etc.
- moraux : affection psychologique mineure mais objective, sentiment d’atteinte à la vie privée sans préjudice irrémédiable, intimidation sur les réseaux sociaux, etc.

Importante :

Les personnes concernées pourraient connaître des conséquences significatives, qu’elles devraient pouvoir surmonter, mais avec des difficultés réelles et significatives
Exemples d'impacts :
- corporels : affection physique grave causant un préjudice à long terme (aggravation de l’état de santé suite à une mauvaise prise en charge, ou au non respect de contre-indications), altération de l’intégrité corporelle, etc.
- matériels : détournements d’argent non indemnisé, opportunités ciblées, uniques et non récurrentes, perdues (prêt immobilier, études, stages ou emploi, interdiction d’examen), perte de logement, perte d’emploi, etc.
- moraux : Affection psychologique grave (dépression, phobie), sentiment d’atteinte à la vie privée et de préjudice irrémédiable, victime de chantage, cyberbullying et harcèlement moral, etc.

Maximale :

Les personnes concernées pourraient connaître des conséquences significatives, voire irrémédiables, qu’elles pourraient ne pas surmonter
Exemples d'impacts :
- corporels : affection physique de longue durée ou permanente, altération définitive de l’intégrité physique, décès
- matériels : péril financier, dettes importantes, impossibilité de travailler, impossibilité de se reloger, perte de preuves dans le cadre d’un contentieux, perte d’accès à une infrastructure vitale (eau, électricité),etc.
- moraux : affection psychologique de longue durée ou permanente, sanction pénale, enlèvement, perte de lien familial, impossibilité d’ester en justice, changement de statut administratif et/ou perte d’autonomie juridique (tutelle), etc.

La vraisemblance traduit la possibilité qu’un risque se réalise. Elle dépend essentiellement des vulnérabilités des supports face aux menaces et des capacités des sources de risques à les exploiter.

Négligeable :

Il ne semble pas possible que les sources de risques retenues puissent réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papiers stockés dans un local de l’organisme dont l’accès est contrôlé par badge et code d’accès).

Limitée :

Il semble difficile pour les sources de risques retenues de réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papiers stockés dans un local de l’organisme dont l’accès est contrôlé par badge).

Importante :

il semble possible pour les sources de risques retenues de réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papiers stockés dans les bureaux d’un organisme dont l’accès est contrôlé par une personne à l’accueil).

Maximale :

il semble extrêmement facile pour les sources de risques retenues de réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papier stockés dans le hall public de l’organisme).

La gravité représente l’ampleur d’un risque. Elle dépend essentiellement du caractère préjudiciable des impacts potentiels.

Négligeable :

Les personnes concernées ne seront pas impactées ou pourraient connaître quelques désagréments, qu’elles surmonteront sans difficulté.
Exemples d'impacts :
- corporels : maux de tête passagers
- matériels : perte de temps pour réitérer des démarches ou pour attendre de les réaliser, réutilisation des données à des fins de publicité ciblée pour des produits de consommation courante, etc.,
- moraux : simple contrariété, sentiment d'atteinte à la vie privée sans préjudice réel (intrusion commerciale), etc.

Limitée :

Les personnes concernées pourraient connaître des désagréments significatifs, qu’elles pourront surmonter malgré quelques difficultés
Exemples d'impacts :
- corporels : affection physique mineure (ex. : maladie bénigne suite au non respect de contre-indications), diffamation donnant lieu à des représailles physiques, etc.
- matériels : paiements non prévus (ex. : amendes erronées), refus d’accès à des services administratifs ou commerciaux, publicité ciblée en ligne sur un aspect vie privée que la personne souhaitait garder confidentiel , etc.
- moraux : affection psychologique mineure mais objective, sentiment d’atteinte à la vie privée sans préjudice irrémédiable, intimidation sur les réseaux sociaux, etc.

Importante :

Les personnes concernées pourraient connaître des conséquences significatives, qu’elles devraient pouvoir surmonter, mais avec des difficultés réelles et significatives
Exemples d'impacts :
- corporels : affection physique grave causant un préjudice à long terme (aggravation de l’état de santé suite à une mauvaise prise en charge, ou au non respect de contre-indications), altération de l’intégrité corporelle, etc.
- matériels : détournements d’argent non indemnisé, opportunités ciblées, uniques et non récurrentes, perdues (prêt immobilier, études, stages ou emploi, interdiction d’examen), perte de logement, perte d’emploi, etc.
- moraux : Affection psychologique grave (dépression, phobie), sentiment d’atteinte à la vie privée et de préjudice irrémédiable, victime de chantage, cyberbullying et harcèlement moral, etc.

Maximale :

Les personnes concernées pourraient connaître des conséquences significatives, voire irrémédiables, qu’elles pourraient ne pas surmonter
Exemples d'impacts :
- corporels : affection physique de longue durée ou permanente, altération définitive de l’intégrité physique, décès
- matériels : péril financier, dettes importantes, impossibilité de travailler, impossibilité de se reloger, perte de preuves dans le cadre d’un contentieux, perte d’accès à une infrastructure vitale (eau, électricité),etc.
- moraux : affection psychologique de longue durée ou permanente, sanction pénale, enlèvement, perte de lien familial, impossibilité d’ester en justice, changement de statut administratif et/ou perte d’autonomie juridique (tutelle), etc.

La vraisemblance traduit la possibilité qu’un risque se réalise. Elle dépend essentiellement des vulnérabilités des supports face aux menaces et des capacités des sources de risques à les exploiter.

Négligeable :

Il ne semble pas possible que les sources de risques retenues puissent réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papiers stockés dans un local de l’organisme dont l’accès est contrôlé par badge et code d’accès).

Limitée :

Il semble difficile pour les sources de risques retenues de réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papiers stockés dans un local de l’organisme dont l’accès est contrôlé par badge).

Importante :

il semble possible pour les sources de risques retenues de réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papiers stockés dans les bureaux d’un organisme dont l’accès est contrôlé par une personne à l’accueil).

Maximale :

il semble extrêmement facile pour les sources de risques retenues de réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papier stockés dans le hall public de l’organisme).

La gravité représente l’ampleur d’un risque. Elle dépend essentiellement du caractère préjudiciable des impacts potentiels.

Négligeable :

Les personnes concernées ne seront pas impactées ou pourraient connaître quelques désagréments, qu’elles surmonteront sans difficulté.
Exemples d'impacts :
- corporels : maux de tête passagers
- matériels : perte de temps pour réitérer des démarches ou pour attendre de les réaliser, réutilisation des données à des fins de publicité ciblée pour des produits de consommation courante, etc.,
- moraux : simple contrariété, sentiment d'atteinte à la vie privée sans préjudice réel (intrusion commerciale), etc.

Limitée :

Les personnes concernées pourraient connaître des désagréments significatifs, qu’elles pourront surmonter malgré quelques difficultés
Exemples d'impacts :
- corporels : affection physique mineure (ex. : maladie bénigne suite au non respect de contre-indications), diffamation donnant lieu à des représailles physiques, etc.
- matériels : paiements non prévus (ex. : amendes erronées), refus d’accès à des services administratifs ou commerciaux, publicité ciblée en ligne sur un aspect vie privée que la personne souhaitait garder confidentiel , etc.
- moraux : affection psychologique mineure mais objective, sentiment d’atteinte à la vie privée sans préjudice irrémédiable, intimidation sur les réseaux sociaux, etc.

Importante :

Les personnes concernées pourraient connaître des conséquences significatives, qu’elles devraient pouvoir surmonter, mais avec des difficultés réelles et significatives
Exemples d'impacts :
- corporels : affection physique grave causant un préjudice à long terme (aggravation de l’état de santé suite à une mauvaise prise en charge, ou au non respect de contre-indications), altération de l’intégrité corporelle, etc.
- matériels : détournements d’argent non indemnisé, opportunités ciblées, uniques et non récurrentes, perdues (prêt immobilier, études, stages ou emploi, interdiction d’examen), perte de logement, perte d’emploi, etc.
- moraux : Affection psychologique grave (dépression, phobie), sentiment d’atteinte à la vie privée et de préjudice irrémédiable, victime de chantage, cyberbullying et harcèlement moral, etc.

Maximale :

Les personnes concernées pourraient connaître des conséquences significatives, voire irrémédiables, qu’elles pourraient ne pas surmonter
Exemples d'impacts :
- corporels : affection physique de longue durée ou permanente, altération définitive de l’intégrité physique, décès
- matériels : péril financier, dettes importantes, impossibilité de travailler, impossibilité de se reloger, perte de preuves dans le cadre d’un contentieux, perte d’accès à une infrastructure vitale (eau, électricité),etc.
- moraux : affection psychologique de longue durée ou permanente, sanction pénale, enlèvement, perte de lien familial, impossibilité d’ester en justice, changement de statut administratif et/ou perte d’autonomie juridique (tutelle), etc.

La vraisemblance traduit la possibilité qu’un risque se réalise. Elle dépend essentiellement des vulnérabilités des supports face aux menaces et des capacités des sources de risques à les exploiter.

Négligeable :

Il ne semble pas possible que les sources de risques retenues puissent réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papiers stockés dans un local de l’organisme dont l’accès est contrôlé par badge et code d’accès).

Limitée :

Il semble difficile pour les sources de risques retenues de réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papiers stockés dans un local de l’organisme dont l’accès est contrôlé par badge).

Importante :

il semble possible pour les sources de risques retenues de réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papiers stockés dans les bureaux d’un organisme dont l’accès est contrôlé par une personne à l’accueil).

Maximale :

il semble extrêmement facile pour les sources de risques retenues de réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papier stockés dans le hall public de l’organisme).

La gravité représente l’ampleur d’un risque. Elle dépend essentiellement du caractère préjudiciable des impacts potentiels.

Négligeable :

Les personnes concernées ne seront pas impactées ou pourraient connaître quelques désagréments, qu’elles surmonteront sans difficulté.
Exemples d'impacts :
- corporels : maux de tête passagers
- matériels : perte de temps pour réitérer des démarches ou pour attendre de les réaliser, réutilisation des données à des fins de publicité ciblée pour des produits de consommation courante, etc.,
- moraux : simple contrariété, sentiment d'atteinte à la vie privée sans préjudice réel (intrusion commerciale), etc.

Limitée :

Les personnes concernées pourraient connaître des désagréments significatifs, qu’elles pourront surmonter malgré quelques difficultés
Exemples d'impacts :
- corporels : affection physique mineure (ex. : maladie bénigne suite au non respect de contre-indications), diffamation donnant lieu à des représailles physiques, etc.
- matériels : paiements non prévus (ex. : amendes erronées), refus d’accès à des services administratifs ou commerciaux, publicité ciblée en ligne sur un aspect vie privée que la personne souhaitait garder confidentiel , etc.
- moraux : affection psychologique mineure mais objective, sentiment d’atteinte à la vie privée sans préjudice irrémédiable, intimidation sur les réseaux sociaux, etc.

Importante :

Les personnes concernées pourraient connaître des conséquences significatives, qu’elles devraient pouvoir surmonter, mais avec des difficultés réelles et significatives
Exemples d'impacts :
- corporels : affection physique grave causant un préjudice à long terme (aggravation de l’état de santé suite à une mauvaise prise en charge, ou au non respect de contre-indications), altération de l’intégrité corporelle, etc.
- matériels : détournements d’argent non indemnisé, opportunités ciblées, uniques et non récurrentes, perdues (prêt immobilier, études, stages ou emploi, interdiction d’examen), perte de logement, perte d’emploi, etc.
- moraux : Affection psychologique grave (dépression, phobie), sentiment d’atteinte à la vie privée et de préjudice irrémédiable, victime de chantage, cyberbullying et harcèlement moral, etc.

Maximale :

Les personnes concernées pourraient connaître des conséquences significatives, voire irrémédiables, qu’elles pourraient ne pas surmonter
Exemples d'impacts :
- corporels : affection physique de longue durée ou permanente, altération définitive de l’intégrité physique, décès
- matériels : péril financier, dettes importantes, impossibilité de travailler, impossibilité de se reloger, perte de preuves dans le cadre d’un contentieux, perte d’accès à une infrastructure vitale (eau, électricité),etc.
- moraux : affection psychologique de longue durée ou permanente, sanction pénale, enlèvement, perte de lien familial, impossibilité d’ester en justice, changement de statut administratif et/ou perte d’autonomie juridique (tutelle), etc.

La vraisemblance traduit la possibilité qu’un risque se réalise. Elle dépend essentiellement des vulnérabilités des supports face aux menaces et des capacités des sources de risques à les exploiter.

Négligeable :

Il ne semble pas possible que les sources de risques retenues puissent réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papiers stockés dans un local de l’organisme dont l’accès est contrôlé par badge et code d’accès).

Limitée :

Il semble difficile pour les sources de risques retenues de réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papiers stockés dans un local de l’organisme dont l’accès est contrôlé par badge).

Importante :

il semble possible pour les sources de risques retenues de réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papiers stockés dans les bureaux d’un organisme dont l’accès est contrôlé par une personne à l’accueil).

Maximale :

il semble extrêmement facile pour les sources de risques retenues de réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papier stockés dans le hall public de l’organisme).