Fuite de données personnelles : que faire ?
Publié le 16/06/2014 par Etienne Wery
Ce matin, en arrivant au bureau, vous constatez que vous avez été victime d’une intrusion dans votre système informatique la nuit passée, et que les données de vos clients sont touchées. Vous vous demandez : que dois-je faire ? Quelles sont mes obligations légales ? Tout dépend du contexte et de votre secteur d’activité. Petit guide pratique…
Qu’est-ce qu’une « fuite » ?
Il n’y a pas de définition légale, sauf dans le secteur des communications électroniques. Dans ce secteur, une « violation de données à caractère personnel » est « une violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés de données à caractère personnel transmises, stockées ou traitées d’une autre manière en relation avec la fourniture de services de communications électroniques accessibles au public dans la Communauté. » (loi belge)
Dans ce secteur bien précis, la directive 2002/58, modifiée en 2006 et 2009, a créé une obligation spécifique de sécurité qui va au-delà du devoir général qui pèse sur tout responsable de traitement.
L’article 4 de la directive 2002/58 stipule en effet que « Le fournisseur d’un service de communications électroniques accessible au public prend les mesures d’ordre technique et organisationnel appropriées afin de garantir la sécurité de ses services, le cas échéant conjointement avec le fournisseur du réseau public de communications en ce qui concerne la sécurité du réseau. Compte tenu des possibilités techniques les plus récentes et du coût de leur mise en œuvre, ces mesures garantissent un degré de sécurité adapté au risque existant. »
L’idée n’est pas neuve. La directive de 1995 qui traite de façon générale de la protection des données personnelles, crée aussi un devoir de sécurité même si c’est en termes plus généraux que dans le secteur des communications électroniques.
Une fuite est en quelque sorte tout incident en violation de la politique de sécurité, qui entraine un dommage touchant les données traitées.
Première urgence : dresser l’inventaire
Avant de penser au droit, il faut penser à la sécurité et répondre aux questions suivantes :
· Comment cela a-t-il pu se passer ?
· Qu’est-ce qui n’allait pas dans ma politique de sécurité et qui a rendu cet accident possible ?
· Quelle est l’ampleur des dégâts ?
A partir de là, les mesures d’urgence consistent à stopper l’hémorragie. Si un port était ouvert et ne devait pas l’être, autant le fermer tout de suite.
Attention que dans certains cas, il pourrait être utile de faire constater l’état du système avant de corriger la faiblesse. Cas fréquent : l’informaticien a commis une faute grave qui doit être constatée car elle peut avoir un impact sur une procédure de licenciement. Dans ce cas, votre avocat et/ou votre huissier pourra vous aider.
Egalement, si vous avez des raisons de penser que l’intrusion pourrait ne pas être qu’un incident ponctuel (par exemple si des menaces de répétition ont été formulées comme c’est le cas en matière de piratage et de chantage informatique), il pourrait aussi être utile de solliciter l’autorisation des autorités avant de modifier quoi que ce soit. Là aussi, votre avocat est celui qui peut vous conseiller et activer la bonne procédure.
Dois-je informer la CNIL ou la Commission vie privée ?
Cela dépend.
En l’état actuel de la loi, il faut informer l’autorité responsable si votre activité relève de la fourniture de services de communications électroniques accessibles au public.
Les délais, formalités et autres précisions sont fournies par le Règlement n° 611/2013 de la Commission du 24 juin 2013 « concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électronique. »
Attention, il y a urgence car l’article 2 de ce Règlement impose, « si possible », de notifier l’incident dans les 24 heures !
Les choses pourraient toutefois changer et l’obligation de prévenir l’autorité pourrait se généraliser !
On sait en effet qu’il y a un règlement européen actuellement en préparation destiné à remplacer largement la directive générale de 1995 sur la protection des données personnelles. Le projet actuel étend l’obligation de notifier l’autorité. L’avenir dira ce qu’il en est.
Dois-je prévenir les personnes concernées ?
Les clients dont les données ont été dérobées doivent-ils être prévenus ?
A nouveau, cela dépend du secteur concerné et des circonstances.
Si votre entreprise tombe dans le Règlement 6011/213 évoqué ci-dessus (secteur des communications électroniques), l’article 2 stipule que « Lorsque la violation de données à caractère personnel est susceptible de porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’un particulier, le fournisseur, en plus de la notification visée à l’article 2, notifie également la violation à l’abonné ou au particulier. »
Il est déterminé si une violation de données à caractère personnel est susceptible de porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’un particulier en prenant notamment en compte les éléments suivants :
a) la nature et la teneur des données concernées, en particulier s’il s’agit de données relatives à des informations financières, de catégories de données particulières visées à l’article 8, paragraphe 1, de la directive 95/46/CE ainsi que de données de localisation, fichiers journaux internet, historiques de sites web consultés, données relatives au courrier électronique et listes d’appels téléphoniques détaillées;
b) les conséquences vraisemblables de la violation de données à caractère personnel pour l’abonné ou le particulier concerné, notamment les cas où la violation pourrait entraîner un vol ou une usurpation d’identité, une atteinte à l’intégrité physique, une souffrance psychologique, une humiliation ou une atteinte à la réputation; et
c) les circonstances de la violation de données à caractère personnel, en particulier l’endroit où les données ont été volées ou le moment auquel le fournisseur sait que les données sont en possession d’un tiers non autorisé.
Dans certains cas exceptionnels, s’il y a un risque que la notification à l’abonné ou au particulier nuise à l’efficacité de l’enquête sur la violation de données à caractère personnel, le fournisseur est autorisé, après avoir obtenu l’accord de l’autorité nationale compétente, à retarder la notification jusqu’au moment où ladite autorité juge possible de notifier la violation conformément au présent article.
Si votre entreprise ne tombe pas dans le Règlement 6011/213 évoqué ci-dessus, il n’y a pas d’obligation formelle mais application du droit général, notamment de la responsabilité civile. Si en s’abstenant de prévenir la personne vous commettez une faute qui lui cause un dommage, vous pourriez en être responsable ! c’est donc le contexte qui doit guider votre décision. On ne traite pas de la même manière le vol d’un historique d’achat et celui des coordonnées bancaires du client. On ne traite pas de la même manière des données commerciales quelconques et des données de santé.
Par ailleurs, il fut signaler qu’ici aussi le règlement en préparation pourrait étendre les obligations actuelles ; il s’agit de se mettre à la page quand il sera voté.
Plus d’infos ?
La Commission belge pour la protection de la vie privée a publié un guide très instructif.