Nous pouvons partir du principe que l'évaluation est toujours contextuelle.
Cependant, une méthodologie publiée par la CNIL pour réaliser les analyses d'impact sur la vie privée permet d'avoir une grille de lecture de l'échelle des risques.
Voici le tableau proposé par la CNIL dans son guide PIA :
Impact
Niveaux | Descriptions génériques des impacts (directs et indirects) | Exemples d’impacts corporels | Exemples d’impacts matériels | Exemples d’impacts moraux |
---|---|---|---|---|
1. Négligeable | Les personnes concernées ne seront pas impactées ou pourraient connaître quelques désagréments, qu’elles surmonteront sans difficulté | - Absence de prise en charge adéquate d’une personne non autonome (mineur, personne sous tutelle) - Maux de tête passagers | - Perte de temps pour réitérer des démarches ou pour attendre de les réaliser - Réception de courriers non sollicités (ex. : spams) - Réutilisation de données publiées sur des sites Internet à des fins de publicité ciblée (information des réseaux sociaux réutilisation pour un mailing papier) - Publicité ciblée pour des produits de consommation courants | - Simple contrariété par rapport à l’information reçue ou demandée - Peur de perdre le contrôle de ses données - Sentiment d’atteinte à la vie privée sans préjudice réel ni objectif (ex : intrusion commerciale) - Perte de temps pour paramétrer ses données - Non respect de la liberté d’aller et venir en ligne du fait du refus d’accès à un site commercial (ex : alcool du fait d’un âge erroné) |
2. Limitée | Les personnes concernées pourraient connaître des désagréments significatifs, qu’elles pourront surmonter malgré quelques difficultés | - Affection physique mineure (ex. : maladie bénigne suite au non respect de contreindications) - Absence de prise en charge causant un préjudice minime mais réel (ex : handicap) - Diffamation donnant lieu à des représailles physiques ou psychiques | - Paiements non prévus (ex. : amendes attribuées de manière erronée), frais supplémentaires (ex. : agios, frais d’avocat), défauts de paiement - Refus d’accès à des services administratifs ou prestations commerciales - Opportunités de confort perdues (ex. : annulation de loisirs, d’achats, de vacances, fermeture d’un compte en ligne) - Promotion professionnelle manquée - Compte à des services en ligne bloqué (ex. : jeux, administration) - Réception de courriers ciblés non sollicités susceptible de nuire à la réputation des personnes concernées - Élévation de coûts (ex. : augmentation du prix d’assurance) - Données non mises à jour (ex. : poste antérieurement occupé) - Traitement de données erronées créant par exemple des dysfonctionnements de comptes (bancaires, clients, auprès d’organismes sociaux, etc.) - Publicité ciblée en ligne sur un aspect vie privée que la personne souhaitait garder confidentiel (ex : publicité grossesse, traitement pharmaceutique) - Profilage imprécis ou abusif | - Refus de continuer à utiliser les systèmes d’information (whistleblowing, réseaux sociaux) - Affection psychologique mineure mais objective (diffamation, réputation) - Difficultés relationnelles avec l’entourage personnel ou professionnel (ex. : image, réputation ternie, perte de reconnaissance) - Sentiment d’atteinte à la vie privée sans préjudice irrémédiable - Intimidation sur les réseaux sociaux |
3. Importante | Les personnes concernées pourraient connaître des conséquences significatives, qu’elles devraient pouvoir surmonter, mais avec des difficultés réelles et significatives | - Affection physique grave causant un préjudice à long terme (ex. : aggravation de l’état de santé suite à une mauvaise prise en charge, ou au non respect de contreindications) - Altération de l’intégrité corporelle par exemple à la suite d’une agression, d’un accident domestique, de travail, etc. | - Détournements d’argent non indemnisé - Difficultés financières non temporaires (ex. : obligation de contracter un prêt) - Opportunités ciblées, uniques et non récurrentes, perdues (ex. : prêt immobilier, refus d’études, de stages ou d’emploi, interdiction d’examen) - Interdiction bancaire - Dégradation de biens - Perte de logement - Perte d’emploi - Séparation ou divorce - Perte financière à la suite d’une escroquerie (ex. : après une tentative d’hameçonnage - phishing) - Bloqué à l’étranger - Perte de données clientèle | - Affection psychologique grave (ex. : dépression, développement d’une phobie) - Sentiment d’atteinte à la vie privée et de préjudice irrémédiable - Sentiment de vulnérabilité à la suite d’une assignation en justice - Sentiment d’atteinte aux droits fondamentaux (ex. : discrimination, liberté d’expression) - Victime de chantage - Cyberbullying et harcèlement moral |
4. Maximale | Les personnes concernées pourraient connaître des conséquences significatives, voire irrémédiables, qu’elles pourraient ne pas surmonter | - Affection physique de longue durée ou permanente (ex. : suite au non respect d’une contreindication) - Décès (ex. : meurtre, suicide, accident mortel) - Altération définitive de l’intégrité physique | - Péril financier - Dettes importantes - Impossibilité de travailler - Impossibilité de se reloger - Perte de preuves dans le cadre d’un contentieux - Perte d’accès à une infrastructure vitale (eau, électricité) | - Affection psychologique de longue durée ou permanente - Sanction pénale - Enlèvement - Perte de lien familial - Impossibilité d’ester en justice - Changement de statut administratif et/ou perte d’autonomie juridique (tutelle) |
A cette échelle, il convient de prendre en compte les éléments contextuels suivants :
- le caractère identifiant des données ;
- la nature des sources de risques ;
- le nombre d’interconnexions (notamment avec l’étranger) ;
- le nombre de destinataires (ce qui facilite la corrélation de données initialement séparées).
Probabilité
Pour évaluer la probabilité, la CNIL propose l'échelle suivante :
Niveaux | Description |
---|---|
Négligeable | il ne semble pas possible que les sources de risques retenues puissent réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papiers stockés dans un local de l’organisme dont l’accès est contrôlé par badge et code d’accès). |
Limité | il semble difficile pour les sources de risques retenues de réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papiers stockés dans un local de l’organisme dont l’accès est contrôlé par badge). |
Important | il semble possible pour les sources de risques retenues de réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papiers stockés dans les bureaux d’un organisme dont l’accès est contrôlé par une personne à l’accueil). |
Maximal | il semble extrêmement facile pour les sources de risques retenues de réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papier stockés dans le hall public de l’organisme). |
A cette échelle, il convient de prendre en compte les éléments contextuels suivants :
- une ouverture sur Internet ou un système fermé ;
- des échanges de données avec l’étranger ou non ;
- des interconnexions avec d’autres systèmes ou aucune interconnexion ;
- l’hétérogénéité ou l’homogénéité du système ;
- la variabilité ou la stabilité du système ;
- l’image de l’organisme.