Introduction
Le 1er septembre 2023, la nouvelle Loi fédérale sur la protection des données (LPD) et ses ordonnances d’exécution, notamment l’Ordonnance fédérale du 31 août 2022 sur la protection des données (OPDo), sont entrées en vigueur. Parmi son lot de nouvelles obligations, les entreprises doivent notamment annoncer au Préposé fédéral à la protection des données et à la transparence (PFPDT) certaines violations de la sécurité des données par le biais du portail « DataBreach ».
Afin d’accompagner les entreprises dans leur travail, nous passons en revue les violations de la sécurité des données qui doivent être annoncées au PFPDT, ainsi que les modalités relatives à cette annonce.
Violation de la sécurité des données : définition
Chaque entreprise est tenue de respecter le principe de sécurité (art. 8 LPD). Ce dernier impose à l’entreprise qu’elle assure, par des mesures organisationnelles et techniques appropriées, de la sécurité adéquate des données personnelles par rapport au risque encouru. Les mesures doivent en particulier permettre d’éviter toute violation de la sécurité des données.
La violation de la sécurité des données se définit de la manière suivante (art. 5 let. h LPD): « toute violation de la sécurité entraînant de manière accidentelle ou illicite la perte de données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisés à ces données ».
Traditionnellement, on distingue trois types de violation de la sécurité des données.
- Le premier type concerne la violation de la disponibilité des données. Dans ce cas, la violation rend les données indisponibles. Cette indisponibilité peut être due à la destruction, à l’effacement ou à la perte accidentelle des données (p. ex. lors de la suppression involontaire de données ou dans le cas de la perte d’une clé de cryptage).
- Le deuxième type concerne la violation de l’intégrité des données. Ici, la violation entraîne une modification des données. L’exemple typique concerne le cas d’une cyberattaque lors de laquelle l’attaquant obtient la possibilité de modifier une base de données.
- Le troisième type concerne la violation de la confidentialité des données. Il s’agit de la violation qui rend accessibles les données personnelles à des personnes non autorisées. Ce serait le cas pour la perte d’un support de données qui ne dispose d’aucune mesure technique de protection.
Quelles sont les violations de la sécurité des données qu’un responsable du traitement doit annoncer au PFPDT ?
Violations de la sécurité des données entraînant vraisemblablement un risque élevé
Contrairement à des idées reçues, toute violation de la sécurité des données ne doit pas être annoncée au PFPDT. Seules les violations de la sécurité des données entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée doivent être annoncées (art. 24 al. 1 LPD). Ce seuil permet d’éviter au PFPDT de devoir traiter des violations qui seraient sans importance.
Vraisemblance d’un risque élevé
L’ampleur et la conséquence d’une violation de la sécurité des données sont déterminantes pour les mesures à prendre, en particulier pour l’estimation du risque. Cette dernière doit se faire sur la base de différents critères, dont notamment :
- Cercles des personnes pouvant exploiter les données personnelles : Plus le cercle de personnes pouvant exploiter les données personnelles à la suite d’une violation de la sécurité des données est de confiance, moins le risque est élevé (p. ex. la violation permet uniquement à des employés de l’entreprise de prendre connaissance des données).
- Type de données personnelles : Une violation de la sécurité de données personnelles sensibles (p. ex. données médicales) n’a pas le même impact pour la personnalité de la personne concernée qu’une violation de la sécurité de données personnelles, à l’instar du nom, du prénom ou de la date de naissance.
- Personnes concernées : On retient plus facilement un risque élevé si les données concernent des personnes mineures, des personnes en incapacité de discernement, des personnes en handicap ou des personnes vulnérables, ceux-ci méritant une plus grande protection.
- Nombre de personnes concernées : Plus le nombre de personnes touchées par la violation de la sécurité est grand, plus le risque doit être considéré comme élevé.
- Activité du responsable du traitement : Une violation de la sécurité des données qui intervient au sein d’un hôpital n’aura pas les mêmes répercussions qu’une violation de la sécurité des données qui touche une boutique de vêtements.
- Durée des effets : Si la violation de la sécurité des données ne permet qu’une consultation des données pendant un temps extrêmement court, moins le risque doit être considéré comme élevé.
- Mesures techniques et organisationnelles : Les mesures techniques et organisationnelles qui ont été mises en place en amont ou en aval de la violation de la sécurité des données influencent également la détermination du risque. Si des données personnelles chiffrées sont par exemple exfiltrées dans le cadre d’une attaque par rançongiciel, leur exploitabilité est limitée et, par conséquent, le risque plus limité.
Pour évaluer le risque, il est donc essentiel de se référer à des critères objectifs. En raison des différents critères exposés, nous recommandons l’élaboration d’une grille permettant l’évaluation du risque.
Délai pour annoncer la violation de la sécurité des données
L’annonce doit avoir lieu dans les meilleurs délais (art. 24 al. 1 LPD), et ce dès la prise de connaissance que des données personnelles ont été compromises. La marge d’appréciation laissée aux entreprises se détermine là aussi en fonction du risque. Par exemple, plus le risque est élevé et le nombre de personnes concernées important, plus l’intervention doit être rapide.
En droit européen, l’entreprise dispose d’un délai maximal de 72 heures pour annoncer à l’autorité nationale de protection des données une violation de la sécurité des données. De manière analogue, nous sommes d’avis qu’un tel délai devrait également être appliqué en Suisse par les entreprises.
Contenu de l’annonce
L’annonce doit indiquer au moins la nature de la violation de la sécurité des données, ses conséquences et les mesures prises ou envisagées (art. 24 al. 2 LPD). Le contenu de l’annonce fait l’objet d’une disposition spécifique à l’art. 15 OPDo, qui précise exactement les informations à transmettre, à savoir :
- la nature de la violation ;
- dans la mesure du possible, le moment et la durée ;
- dans la mesure du possible, les catégories et le nombre approximatif de données personnelles concernées ;
- dans la mesure du possible, les catégories et le nombre approximatif de personnes concernées ;
- les conséquences, y compris les risques éventuels, pour les personnes concernées ;
- les mesures prises ou prévues pour remédier à cette défaillance et atténuer les conséquences, y compris les risques éventuels ;
- le nom et les coordonnées d’une personne de contact.
Conclusion
Il est primordial de prendre conscience que la sécurité des données revêt une importance capitale dans le paysage actuel de la protection des données. Les entreprises doivent mettre en place des mesures organisationnelles et techniques adéquates pour prévenir les violations de la sécurité des données et pour réagir efficacement en cas d'incident. De plus, la nécessité d'annoncer rapidement et de manière appropriée toute violation constitue un aspect crucial de la responsabilité des entreprises.
La compréhension des exigences légales et la mise en place de procédures appropriées sont essentielles pour respecter l’obligation d’annonce des violations de la sécurité des données au PFPDT, mais également pour maintenir la confiance des clients et des parties prenantes.
