FAQ Violation sécurité

La protection des données personnelles est violée lorsque ces dernières sont irrémédiablement détruites ou perdues, accidentellement ou illicitement altérées ou divulguées ou encore que des personnes non autorisées y ont accès.

La violation de la sécurité des données doit être déclarée lorsqu’il y a vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée.

L’évaluation d’un risque découle, d’une part, des conséquences éventuelles d’une violation de la protection des données sur les personnes concernées et, d’autre part, de la probabilité de l’occurrence de telles conséquences. Pour déterminer la gravité des éventuelles conséquences, il faut tenir compte, lors de l’évaluation du risque, de la violation concrète de la protection des données (p. ex. communication non autorisée, suppression, …) et d’autres critères (p. ex. nature et sensibilité des données personnelles, étendue des données concernées, nombre de personnes concernées, identification des personnes concernées, …).

Il convient de toujours évaluer chaque cas individuellement et d’en tenir compte lors de l’évaluation du risque. Si l’on est en présence des mêmes critères et des mêmes conséquences, cela ne signifie pas forcément que l’on a affaire au même risque.

L’entité responsable du traitement des données doit notifier la violation de sécurité.

Si un sous-traitant est impliqué, il doit informer immédiatement de la violation l’entité soumise à déclaration. Dans ce cas aussi, l’organe public est responsable de la notification à l’autorité chargée de la protection des données.

La notification d’une personne concernée ne doit pas être considérée comme une notification d’une violation de la sécurité selon l’art. 23c CPDT-JUNE. Il s’agit d’une dénonciation qui est traitée par le PPDT selon l’art. 45 CPDT-JUNE. Le fait que le PPDT exige une notification formelle de l’organe public doit être vérifié et évalué par le PPDT dans chaque cas.

Toute violation de la protection des données doit être notifiée à l’autorité chargée de la protection des données, c’est-à-dire au PPDT.

Si on constate que la violation de la protection des données peut entraîner des conséquences dans plusieurs cantons, il faut le signaler dans la notification. Cela facilite la vérification de la compétence du PPDT.

La forme n’est pas imposée, mais on recommande une notification par écrit. Le PPDT met un formulaire à disposition.

Une violation de la sécurité doit être notifiée dans les meilleurs délais, conformément à l’art. 23c CPDT-JUNE.

La notification de la violation de la sécurité ne doit pas être différée exagérément. Il ne faut pas nécessairement détenir toutes les informations au moment de la notification. Les informations additionnelles sur la violation de la protection des données peuvent être soumises par la suite.

Les personnes concernées doivent être informées de la violation de la sécurité lorsque c'est nécessaire à leur protection ou lorsque le PPDT l’exige. C'est le cas notamment si les personnes concernées doivent prendre des mesures pour leur protection. Ces dernières ne doivent pas être seulement des actions directes de protection telles que le changement d’un mot de passe, mais peuvent être d’autres mesures qui aideront la personne concernée à surmonter la violation (p. ex. en demandant de l’aide lorsqu’un secret a été divulgué).

L’information aux personnes concernées comprend les conséquences possibles de la violation, les mesures prises ou prévues et les informations de contact du PPDT.

L’information aux personnes concernées peut être limitée ou différée ou absente si :

• un intérêt privé ou public prépondérant d’un tiers s’y oppose,

• un devoir légal de garder le secret l’interdit,

• le devoir d’informer est impossible à respecter ou nécessite des efforts disproportionnés,

• l’information de la personne concernée peut être garantie de manière équivalente par une communication publique,

• la communication des informations est susceptible de compromettre une enquête, une instruction ou une procédure judiciaire ou administrative.

Les causes ou les points faibles qui ont mené à une violation de la protection des données sont décisifs pour pouvoir prendre des mesures efficaces. Cela étant, abstraction faite des actions urgentes et avant de prendre des mesures, il faut toujours évaluer pourquoi on en est venu à une violation concrète de la protection des données. Les causes ou les points faibles montrent souvent les mesures qu’il faut prendre.

En fonction du cas et des conséquences de la violation, le PPDT indique les mesures que l’organe public doit mettre en place. Elles doivent servir à réduire et à éliminer les conséquences de la violation de la sécurité et à éviter que des violations de cette nature se reproduisent.

Des mesures sont énumérées ci-dessous à titre d’exemple. Au final, il incombe à l’organe public et au PPDT de déterminer les plus adéquates et de les mettre en œuvre.

• Le personnel de l’entité doit être sensibilisé lors de formations et informés de son obligation de faire suivre les courriers électroniques suspects à son service informatique. Ce service doit être désigné.

• Déterminer quelles dispositions techniques doivent être prises afin de limiter la transmission de données personnelles (sensibles), par l'utilisation de canaux sécurisés, par ex.

• Mises à jour régulières des systèmes (installation de nouvelles livraisons de correctifs pour les « patches » des logiciels) et enregistrement (logging) de ces mises à jour.

• Mesure stricte : il faut examiner si la probabilité de survenance dans le processus opérationnel peut être sensiblement réduite par le "principe des quatre yeux" (segration of duty). Cependant, dans ce cas de figure, l’efficacité et la rentabilité peuvent être invoquées comme contre-argument.