Notre site web utilise des cookies et d’autres technologies afin d’améliorer votre expérience utilisateur et de mesurer la performance du site web et de nos mesures publicitaires. Vous trouverez plus d’informations et d’options dans notre déclaration de confidentialité.
OK
Weka Plus

Violations de sécurité des données: Le devoir d’annonce et ses conséquences pour les RH

L’obligation d’annoncer les violations de la sécurité des données (data breach) au Préposé fédéral à la protection des données et à la transparence (PFPDT) est une nouveauté introduite par l’art. 24 de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données (nLPD ; FF 2020 7397), laquelle devrait entrer en vigueur au début 2023. Jusqu’alors, dans le cadre de la loi actuelle sur la protection des données, le PFPDT pouvait, en cas de soupçon de violation de la sécurité, tout au plus mener une enquête et émettre des recommandations. L’art. 29 de la loi du 22 juin 2007sur l’Autorité fédérale de surveillance des marchés financiers (Loi sur la surveillance des marchés financiers, LFINMA ; RS 956.1) permettait également d’obliger les établissements soumis à la surveillance de la FINMA à signaler les cyberattaques. Mais il n’y avait pas d’obligation d’annonce générale en cas de « data breach ». C’est ce qui va changer avec l’art. 24 nLPD.

25/01/2022 De: Philippe Ehrenström
Violations de sécurité des données

Principe de sécurité

Le responsable de traitement et le sous-traitant, pour effectuer un traitement de données licite, doivent respecter les principes fondamentaux de la protection des données, dont le principe de sécurité de l’art. 8 nLPD.  Selon l’art. 8 al. 1 nLPD, les responsables du traitement et les sous-traitants doivent ainsi assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru. Les mesures techniques consistent, par exemple, en l’authentification par un

mot de passe approprié, le chiffrement, des sauvegardes régulières, etc. Les mesures organisationnelles peuvent recouper la formation, la documentation, les instructions, les audits, l’optimisation contractuelle, etc.

L’art. 32 § 1 du Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, dit règlement général sur la protection des données (RGPD), prévoit quant à lui que le responsable de traitement et le sous-traitant mettront en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, comprenant notamment le chiffrement et la pseudonymisation des données à caractère personnel ; des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes et des services de traitement ; des moyens permettant de rétablir la disponibilité des données et l’accès à celle-ci dans des délais et appropriées ; et une procédure visant à tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et opérationnelles pour assurer la sécurité du traitement. Rappelons que le RGPD peut s’appliquer de manière extraterritoriale aux traitements de données relatives à des personnes concernées qui se trouvent sur le territoire de l’UE par un responsable de traitement ou un sous-traitant qui n’est pas établi dans l’UE lorsque les activités de traitement sont liées (i) à l’offre de biens ou de services à ces personnes dans l’UE, qu’un paiement soit exigé de celles-ci ou non ou (ii) au suivi de comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union (art. 3 § 2 RGPD).

Les mesures organisationnelles et techniques appropriées doivent permettre d’éviter toute violation de la sécurité des données (art. 8 al. 2 nLPD), soit toute violation de la sécurité entraînant de manière accidentelle ou illicite la perte de données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisés à ces données (art. 5 let. h nLPD). Elles constituent un préalable à la protection de la personnalité de la personne concernée. Le RGPD considère que les mesures doivent permettre de garantir un niveau de sécurité adapté au risque (art. 32 § 1 RGPD).

Il est important de souligner les mesures requises doivent être prises a priori, soit avant toute violation de la sécurité des données, mais aussi a posteriori pour éviter qu’une violation se reproduise (retour d’expérience, limitation des risques, mesures correctives, etc.)  L’obligation d’annonce, qui est une de ces mesures, doit aussi être systématiquement envisagée dans le cadre d’un plan de réponse standardisé en cas de violation de la sécurité des données (data breach response plan): monitoring /surveillance des données et de leurs flux en temps normal, détection et analyse d’une violation, contre-mesures, estimation du risque pour les personnes concernées et annonce obligatoire à l’autorité et éventuellement aux personnes concernées si les conditions sont remplies, documentation. Il existe des modèles pour établir de tels plans de réponse, dont celui du National Institute of Standards and Technology (NIST) [https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf]).

Le devoir d’annonce

Lire la suite avec Weka+

  • Accès illimité à plus de 500 aides de travail
  • Tous les articles payants en accès illimité sur weka.ch
  • Actualisation quotidienne
  • Nouveaux articles et aides de travail hebdomadaires
  • Offres spéciales exclusives
  • Bons séminaires
  • Invitations aux webinaires en direct
A partir de CHF 16.50 par mois S'abonner maintenant Vous avez déjà un abonnement W+ ? S'inscrire ici
Newsletter S'abonner à W+