- Lynn Pype - Griet Verfaillie
- violation de données , obligation de notification , politique relative au respect de la vie privée
Analyse
Tout responsable de traitement des données est tenu de notifier à la commission de la vie
privée lorsqu'une violation s'est produite lors d'un traitement de données à caractère
personnel.
Le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à
l'égard du traitement des données à caractère personnel et à la libre circulation de ces
données (ci-après le "RGPD") prévoit une obligation de notification dans le chef du
responsable de traitement en cas de violation lors du traitement des données à caractère personnel.
Sauf si le législateur belge fait jouer l'obligation de notification plus tôt, celle-ci entrera
en vigueur en Belgique, en principe, à partir de l'entrée en vigueur du règlement général sur
la protection des données, c'est-à-dire le 25 mai 2018.
La nature de la violation qui est susceptible d'engendrer l'obligation de notification peut
varier. Piratage extérieur est l'exemple le plus connu, mais aussi la perte d'une clé USB
ou d'un ordinateur portable sur lequel des données à caractère personnel ont été sauvegardées,
peuvent l'être.
Au Pays-Bas, cette obligation de notification avait déjà été introduite le 1er janvier 2016.
Jusqu'à présent, seulement un nombre limité de notifications a été noté au Pays-Bas. Ceci est,
selon toute vraisemblance, pas dû au fait que les entreprises au Pays-Bas sont rarement confrontées
à des fuites, mais sera probablement dû au fait que s'il y a une fuite, celle-ci est tenue
secrète par crainte de dégradation de l'image et/ou de conséquences pécuniaires.
Pourtant, les méfaits sont plus grands s'il n'y a pas de notification, non seulement pour
la victime concernée qui ignore que son mot de passe, email, ou ses autres données ont été révélés
en ligne et ne peut donc pas prendre des mesures afin de limiter ou arrêter le dommage, mais aussi
pour la société qui sera possiblement confrontée aux sanctions plus sévères de la commission de la
vie privée à cause du manque de notification.
1. L'obligation de notification: de quoi s'agit-il?
L'article 33 du RGPD stipule que s'il y a eu une violation en connexion avec des données
à caractère personnel, le responsable du traitement notifie cette violation à l'autorité de
contrôle (la commission de la vie privée), sans délai irraisonnable et si possible endéans les 72
heurs après qu'elle en ait pris connaissance. Dans l'hypothèse ou la notification n'a
pas lieu endéans les 72 heures, la raison pour ce retard doit être mentionnée.
La violation ne doit pas être notifiée s'il est improbable qu'il existe un risque pour les
droits et les libertés des personnes physiques. La responsabilité pour cette analyse incombe à la
société utilisateur et ceci n'est pas toujours facile à déterminer. Sans doute la commission de
la vie privée fournira de la clarté additionnelle ou de directives à cet égard afin d'aider les
sociétés.
La violation ne doit pas être notifiée s'il est improbable qu'il existe un risque pour les droits et les libertés des personnes physiques
Si la notification est nécessaire, le Règlement général sur la protection des données impose que les informations suivantes soient communiquées:
- La nature de la violation, si possible sous mention des catégories des concernés et les
registres de données à caractère personnel en question et, approximativement, du nombre de
concernés et des données à caractère personnel ;
- Le nom et les coordonnées du délégué à la protection des données (DPD) ou un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenue ;
- les conséquences probables de la violation de données à caractère personnel ;
- les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Le RGPD des données permet que s'il s'avère impossible de fournir toutes les
informations simultanément, l'information peut également être fourni en étapes, de nouveau sans
délai irraisonnable.
En outre, le responsable du traitement doit documenter toutes les violations, y compris les faits
concernant les violations, ses conséquences et les mesures de corrections prises. Cette
documentation permet à la commission de la vie privée de contrôler le respect de l'obligation
de notification.
2. Communication à la personne concernée
Outre l'obligation de notification à la commission de la vie privée, il incombe au
responsable du traitement une obligation de communiquer, dans certains cas, la violation aux
personnes concernées. Cette obligation existe quand la violation constitue un risque élevé pour les
droits et libertés des personnes concernées. Une fois de plus, l'on doit attendre les
directives additionnelles qui aideraient à apprécier l'éventuel risque élevé.
La communication doit contenir une description de la nature de la violation en des termes clairs et
simples. D'autre part, le nom et les coordonnées du délégué à la protection des données ou
d'un autre point de contact doivent également être communiqués.
Cette communication n'est toutefois pas requise dans certains cas:
- Si le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et si ces mesures rendent les données à caractère personnel incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telle que le chiffrement ;
- Si le responsable du traitement a pris des mesures ultérieures, qui garantissent que le risque élevé pour les droits et libertés des personnes concernées ne sera pas susceptible de se concrétiser ;
- Et si la communication exigerait des efforts disproportionnés de la société. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace.
3. Sanctions
Si ces dispositions ne sont pas respectées, ceci peut donner lieu à des amendes considérables. Ces amendes peuvent s'élever jusqu'à 10.000.000 euros ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.
L'étendue des amendes ne peut toutefois pas être dissuasive. Comme indiqué oralement et à
plusieurs reprises par la commission de la vie privée, l'objectif n'est pas d'agir
immédiatement et sévèrement punitif, mais en revanche d'abord de sensibiliser, informer,
prévenir et guider.
La commission de la vie privée va d'abord essayer de sensibiliser, informer, prévenir et guider
Lors de l'appréciation de la sanction il est tenu compte de la nature, la sévérité et la durée de la violation, le fait que la violation a été commise délibérément ou par négligence, toute mesure prise pour atténuer le dommage subi par les personnes concernées, toute violation pertinente commise précédemment, le degré de coopération établi avec l'autorité de contrôle ...etc...
4. Une politique interne relative au respect de la vie privée
Afin d'agir de manière la plus adéquate en cas d'une fuite de données, il convient
d'établir, de manière proactive, une politique ou une feuille de route dans laquelle les étapes
qui doivent être suivies dans de telles situations, sont décrites. La commission de la vie privée
doit, en principe, être informé endéans les 72 heures des mesures prises afin de remédier aux
violations.
Une bonne préparation et une politique lucide relative au respect de la vie privée peuvent aider à
répondre de manière appropriée à une fuite de données potentielle.
