Qu’est-ce qu’une fuite de données à caractère personnel ?
Par fuite de données ou violation de données à caractère personnel, on entend une violation de la sécurité de ces dernières entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.
La perte d’une clé USB ou l’accès non autorisé à des données à caractère personnel peut ainsi relever de la définition de fuite de données. Il est également question de fuite de données lorsque l’entreprise fait l’objet d’une cyberattaque portant atteinte à la sécurité des données à caractère personnel des travailleurs.
En cas de violation des données à caractère personnel de ses travailleurs, l’employeur doit en principe entreprendre certaines actions.
Documentation de toutes les fuites de données
L’employeur doit pouvoir être informé, dans des délais appropriés, des fuites de données survenues dans son entreprise. Aussi doit-il instaurer différents processus internes destinés à analyser les incidents et à établir s’il s’agit d’une fuite de données à caractère personnel et si celle-ci implique la mise en œuvre d’actions.
En ce qui concerne les fuites de données, l’employeur doit entreprendre les actions suivantes :
Établissement d’une politique interne concernant les fuites de données
L’employeur peut définir une politique interne précisant la procédure de constatation et de traitement des fuites de données, le membre du personnel devant en être informé et le délai dans lequel doit intervenir cette information, les modalités d’évaluation du risque et à quel moment la fuite doit être notifiée à l’autorité de contrôle ou communiquée aux travailleurs. L’employeur peut établir à cette fin une data breach policy (politique sur la violation de la sécurité des données).
Documentation des fuites de données
L’employeur peut prévoir un document dans lequel sont répertoriées toutes les fuites de données, même celles qui n’engendrent aucun risque. L’autorité de contrôle peut ainsi contrôler le respect de l’obligation de notifier les fuites de données.
Notification d’une fuite de données à l’autorité de contrôle en cas de risque ou de risque élevé pour les droits et libertés du travailleur[1]
En principe, l’employeur est tenu de notifier la fuite de données à l’autorité de contrôle dans les meilleurs délais et au plus tard dans les 72 heures après en avoir pris connaissance[2]. Cette notification doit contenir suffisamment d’informations concernant les circonstances dans lesquelles est survenue la fuite[3].
La fuite de données ne doit pas être notifiée si elle n’engendre aucun risque pour les droits et libertés des travailleurs.
Peuvent engendrer un risque ou risque élevé, les fuites de données susceptibles d’entraîner des "dommages physiques, matériels ou un préjudice moral, en particulier :
- Lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important
- Lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel
- Lorsque le traitement concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes
- Lorsque des aspects personnels sont évalués, notamment dans le cadre de l’analyse ou de la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d’utiliser des profils individuels
- Lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants ou
- lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées[4".
Communication au travailleur d’une fuite de données engendrant un risque élevé pour ses droits et libertés[5]
Le responsable du traitement n’est tenu de communiquer, dans les meilleurs délais, à la personne concernée une fuite de données que lorsque celle-ci engendre un risque élevé (p. ex. données médicales) pour les droits et libertés d’une personne physique. Aucun délai fixe n’a été prévu à cette fin.
L’employeur doit décrire la fuite de données au travailleur en des termes clairs et simples[6].
Cette obligation de communication connaît toutefois quelques exceptions. En effet, la communication à la personne concernée n’est pas obligatoire si l’une ou l’autre des conditions suivantes est remplie :
- Le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par la violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement
- Le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées n’est plus susceptible de se matérialiser
- Elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace
L’autorité de contrôle peut, le cas échéant, exiger de l’employeur qu’il avertisse le travailleur en cas de risque élevé pour les droits et libertés de ce dernier.
Sanctions en cas de non-notification de la fuite de données
L’absence de notification ou de communication peut faire l’objet d’une amende administrative pouvant s’élever jusqu’à 10.000.000 euros ou jusqu’à 2 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
[1] Article 33 du RGPD.
[2] Lorsque la notification ne peut avoir lieu dans les 72 heures, elle doit être accompagnée des motifs du retard.
[3] Pour la description précise des informations devant être absolument transmises, voyez l'article 33.3 du RGPD.
[4] Considérant 75 du RGPD.
[5] Article 34 du RGPD.
[6] Pour la description précise des informations devant être absolument transmises, voyez l'article 33.3 du RGPD.