Réglementation
26 janvier 2022

Comment réagir en cas de fuite de données personnelles ?

Le Comité Européen de la Protection des Données ( « CEPD » ) a récemment publié des lignes directrices illustrant les obligations à respecter en cas de fuite de données personnelles : vol ou perte de documents, e-mail envoyé par erreur, etc. Nous analysons plusieurs cas pratiques issus de ces lignes directrices.

Qu’entend-on par « violation de données personnelles » ?

Au sens du Règlement Général sur la Protection des Données (« RGPD »), la violation de données à caractère personnel se définit comme toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

En cas de violation, le responsable du traitement est tenu :

1)   En toutes hypothèses : de documenter la violation, les faits et les mesures prises pour y remédier, dans un registre interne ;

2)   Éventuellement : de notifier la violation à l’Autorité de protection des données (APD), dans les 72 heures après la prise de connaissance de la violation, s’il existe « un risque pour les droits et libertés des personnes » ;

3)   Éventuellement : de notifier en outre cette violation à la personne concernée, dans les meilleurs délais, s’il existe « un risque élevé pour les droits et libertés d’une personne physique ». 

En pratique, il appartient au responsable du traitement d’évaluer s’il y a lieu de notifier la violation auprès de l’autorité de contrôle et de la personne concernée. La responsabilité lui incombe. Afin de faciliter cette tâche, le CEPD a publié des lignes directrices, reprenant différents cas pratiques issus de situations soumises aux autorités de contrôle européennes.

Cas pratiques

i)         Vol de l’ordinateur d’un travailleur

Lors d’un cambriolage, l’ordinateur d’un travailleur est volé. De nombreuses données personnelles y sont enregistrées. L’ordinateur est protégé par un mot de passe « fort ». Les données sont cryptées. Une sauvegarde externe étant disponible, l’employeur a pu supprimer à distance le contenu de l’ordinateur.

Compte tenu des mesures (adéquates) prises par l’employeur, le CEPD estime que ce dernier n’est pas tenu de notifier la violation à l’autorité de contrôle, ni aux personnes concernées.

ii)       Conservation de données confidentielles après un licenciement

Un travailleur est licencié. Durant son préavis, il prend copie (sur une clé USB personnelle) des données de clients.

Compte tenu du risque pour les droits et libertés des personnes concernées, le CEPD estime que l’employeur est tenu de notifier la violation à l’autorité de contrôle. Par contre, il n’est pas tenu de notifier la violation aux personnes concernées, dès lors qu’aucune donnée « sensible » n’est visée et qu’il s’agit de données limitées.

Cette violation aurait pu être évitée, d’une part, en restreignant au maximum les accès et d’autre part, en interdisant tout téléchargement sur des supports de stockage externes.

iii)      Erreur lors de l’envoi d’un e-mail

Un travailleur adresse un e-mail à des demandeurs d’emploi. Par erreur, une annexe est reprise, contenant les coordonnées et le numéro de registre national de l’ensemble des demandeurs d’emploi (60.000 personnes).

Compte tenu du caractère sensible des données, du nombre de personnes concernées et de l’impact potentiel de la fuite, le CEPD estime que l’employeur est tenu de notifier la violation à l’autorité de contrôle ainsi qu’aux personnes concernées.

Cette violation aurait pu être évitée en adoptant une politique appropriée pour l’utilisation des boites e-mail au sein de l’entreprise.

Que retenir ?

En cas de violation de données personnelles, le responsable du traitement est tenu de réagir sous le bénéfice de l’urgence et d’analyser les risques, afin de déterminer les actions à prendre (notification ou non à l’autorité de contrôle et aux personnes concernées). Cette analyse s’effectue au cas par cas. Les lignes directrices de la CEPD constituent, dans ce cadre, une source utile.

Source : CEPD, Guidelines 01/2021 on Examples regarding Personal Data Breach Notification, 14 décembre 2021 (version 2.0 disponible en anglais), site du CEPD.

We use cookies to track usage and preferences Legal terms I Understand