Skip to Main Content

Protection des données

Références

ANSSI. Guide d'hygiène informatique : renforcer la sécurité de son système d'information en 42 mesures. Version 2.0. Septembre 2017. [en ligne] [Consulté le 16.03.2022]

CONFEDERATION SUISSE. Département fédéral de justice et police (DFPJ). Note explicative relative à l'obligation de notifier une violation de données à caractère personnel en vertu de l'art. 33 RGPD. Berne, 4 septembre 2018. [en ligne] [Consulté le 23.01.2019]

DATA PROTECTION NETWORK (DPN). Personal Data Breaches : all Breaches great and small : assessing the Risk from a Data Breach. March 2022 [en ligne] [Consulté le 15.03.2022]

EDPB. Guidelines 01/2021 on Examples regarding Data Breach Notification. Adopted on 14 January 2021. Version 1.0 [en ligne] [Consulté le 12.08.2021]

EDPB. Guidelines 9/2022 on personal data breach notification under GDPR. Adopted 28 March 2023. Version 2.0 [en ligne] [Consulté le 09.05.2023]

EHRENSTRöm, Philippe. Violation de la sécurité des données et devoir d'information (RGPD/nLPD). 3 février 2022. Blog Le droit du travail et de la protection des données en droit suisse. [en ligne] [Consulté le 25.01.2024]

EUROPEAN UNION AGENCY FOR CYBER SECURITY. Recommendations for a methodology of the assessment of severity of personal data breaches. Working document. v1.0. December 2013. 21 p. [en ligne] [Consulté le 15.03.2022]

GROUPE DE TRAVAIL "ARTICLE 29" SUR LA PROTECTION DES DONNEES. Avis 03/2014 sur la notification des violations de données à caractère personnel (WP 213). Adopté le 25 mars 2014. [en ligne] [Consulté le 16.03.2022]

GROUPE DE TRAVAIL "ARTICLE 29" SUR LA PROTECTION DES DONNEES. Lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement (UE) 2016/679. (WP250rev.01). Adoptées le 3 octobre 2017. Version révisée et adoptée le 6 février 2018. [en ligne]. [Consulté le 03.08.2021]

GILLIERON, Philippe. L'établissement d'un plan de réponse en cas de faille de sécurité. 17 mai 2021. In : www.swissprivacy.law/72

HIRSCH, Célian. Une annonce (très) rapide d'une fuite de données ou une amende salée. 22 novembre 2021. In : www.swissprivacy.law/105

METILLE, Sylvain. Annoncer les failles de sécurité n'est plus une option : nouvelles obligations lorsque des données personnelles sont exposées. In : Expert Focus, 11/2017, pp. 863-867 [en ligne] [Consulté le 03.08.2021]

METILLE, Sylvain. MEYER, Pauline. Annonce des violations de la sécurité des données : une nouvelle obligation de la nLPD. In : SZW /RSDA 1/2021 [en ligne] [Consulté le 21.07.2021]

Généralités

Une violation de sécurité induit différents types de coûts :

  • Coûts directs : perte de productivité due à l'indisponibilité des systèmes et à l'effort de récupération, obligation de remise en conformité, frais d'avocats et amendes, probables pertes de contrats.
  • Coûts indirects : réputation entachée, perte de confiance des clients, diminution de la solvabilité

La violation de sécurité selon la LPD

  • En cas de soupçon de violation de la sécurité le Préposé fédéral peut mener une enquête et émettre des recommandations selon le principe de sécurité
  • Formulaire en ligne du PFPDT permettant d'annoncer une violation de la sécurité des données au sens de l'art. 24 LPD

La violation de sécurité selon la nLPD

  • Le responsable du traitement doit respecter le principe de sécurité des données (art. 8 nLPD) par des mesures techniques et organisationnelles appropriées.
  • Si ces mesures sont inappropriées/insuffisantes, des violations de sécurité peuvent se produire. Parfois, malgré les mesures en place, des violations sont inévitables.
  • La nLPD définit la violation de la sécurité des données dans son art. 5 let. h nLPD. Il peut s'agir de l'effacement, de la perte ou de la destruction portant atteinte à la disponibilité des données ; de la modification qui porte atteinte à l'intégrité des données et de la communication à des tiers non autorisés qui porte atteinte à la confidentialité.
  • Ces violations peuvent avoir plusieurs causes : humaines ou non et porter atteinte plus ou moins gravement à la personnalité des personnes concernées.
  • Si une violation de sécurité est suspectée, le responsable du traitement mène une enquête. Si la violation est confirmée, il évalue les risques pour les personnes concernées.
  • Si la violation entraine un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, le responsable du traitement est obligé d'annoncer les violations de sécurité au Préposé fédéral (art. 24 nLPD). Ceci est le cas si la violation a entraîné des dommages physiques, matériels ou un préjudice moral pour les personnes concernées.
  • Le responsable du traitement doit agir selon des processus qu'il aura mis en place concernant la détection de violation, la mise en place de mesures correctrices, l'annonce et la collecte d'informations nécessaires.

La violation de sécurité selon le RGPD

  • Les autorités européennes ont une notion très large de la notion de faille de sécurité. Une faille de sécurité ou une violation de données à caractère personnel (security breach, privacy breach ou data breach) est un incident lors duquel des données personnelles ont potentiellement été vues, volées ou utilisées par une personne non autorisée. Il peut s'agit de données informatiques ou papier.

En cas de faille de sécurité, certaines obligations incombent au responsable du traitement (RT) :

  • Le RT informe l'autorité de contrôle dans les meilleurs délais et si possible dans les 72h au plus tard après avoir pris connaissance des faits et après avoir documenté les failles (nature de la violation), ses effets (catégories et nombre de personnes concernées, conséquences) et les mesures prises ou proposées (art. 33 RGPD). !!! Si l'entreprise est hors UE (par ex. entreprise suisse), l'entreprise ne peut annoncer la faille à une autorité de contrôle qui deviendrait chef de file : elle doit avertir les autorités de chaque pays dont sont issus les personnes concernées (au maximum tous les pays européens).
  • Il n'est pas nécessaire que la violation entraîne un risque élevé
  • Le RT informe les personnes concernées sans retard si la faille est de nature à porter atteinte à la protection de ses données personnelles (art. 34 RGPD).

Conseils pratiques en cas de faille de sécurité :

  • informer immédiatement le responsable et récolter les informations suivantes afin d'évaluer la faille : problème, qui est impliqué, quel service, quelles données, quelles mesures immédiates peut-on prendre, qui est au courant
  • mettre en place les mesures immédiates (mise en quarantaine, sécurité informatique, récupération de données ...
  • mettre en place une task force (DPO, IT, RH,COM+ conseil externe...)
  • prévoir un plan de communication, gérer les communications publiques et la gestion de l'image
  • après la crise, prévoir l'amélioration et la modification des procédures existantes
  • documenter

Etablissement d'un plan de réponse en cas de faille de sécurité

Un plan de réponse comporte quatre phases :

  • Phase de préparation : il s'agit de créer une équipe en charge de gérer l'incident (au moins un membre de la Direction, COM, IT, service juridique/DPO) et de déterminer les ressources à disposition (dans l'entreprise et éventuellement en dehors, comme des experts)
  • Phase de détection et d'analyse : la détection se fait au moyen d'outils de surveillance notamment et l'analyse va permettre de déterminer le type de violation et son impact.
  • Phase de traitement : une fois détecté, l'incident est traité (isolation des systèmes, restauration ...)
  • Phase d'enseignement : une fois l'incident terminé, il faut faire un bilan de la situation et analyser la manière dont l'incident a été géré.