Second, the organization would have to consider the probability that the stolen information would be misused — for example, whether the data was encrypted, how much time had passed between the occurrence of the breach and its detection, and whether the cause of the breach was a malicious attack or was accidental.
Deuxièmement, elle devrait tenir compte de la probabilité que les renseignements volés soient mal utilisés — par exemple, si les données ont été chiffrées, combien de temps s'est écoulé entre le moment où l'atteinte s'est produite et celui où on l'a détectée, et si la cause de cette atteinte était accidentelle ou le résultat d'une attaque malveillante. Je répète que la loi oblige les organisations à aviser les personnes concernées dès qu'une atteinte est confirmée.
