Violations de sécurité des données: Le devoir d’annonce et ses conséquences pour les RH
Aides de travail appropriées
La loi révisée sur la protection des données est entrée en vigueur le 1er septembre 2023
La loi suisse révisée sur la protection des données (nLPD) est entrée en vigueur le 1er septembre 2023. Il n'y a pas de période de transition, ce qui signifie que la LPD révisée est applicable immédiatement et que toutes ses dispositions doivent être mises en œuvre à partir de cette date. Pour pouvoir effectuer un traitement de données conforme à la loi, le responsable de ce domaine et le sous-traitant doivent en respecter les principes fondamentaux, lesquels sont stipulés dans l'article 8 de la LPD révisée. Le principe de sécurité des données comporte trois composantes, à savoir:
- confidentialité
- intégrité
- disponibilité des données personnelles
Qu’est-ce qu’une violation de la sécurité des données?
Une violation de la sécurité des données peut avoir de graves conséquences pour toute organisation, surtout si celle-ci ne réagit pas immédiatement et de manière appropriée. La nouvelle loi décrit un tel acte comme suit: «toute violation de la sécurité entraînant de manière accidentelle ou illicite la perte de données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisé à ces données». La violation peut être le fait de tiers ou de collaborateurs qui abusent de leurs compétences ou agissent par négligence. Les causes d'une telle violation peuvent être notamment une erreur humaine, l'ingénierie sociale, des logiciels malveillants, une utilisation non autorisée au sein de l'entreprise (abus de privilèges ou mauvaise manipulation des données), un piratage criminel ou la perte ou le vol d'appareils (tels que des téléphones portables ou des ordinateurs portables), de supports de stockage ou de documents physiques. Il y a également violation de la protection des données lorsqu'il est simplement possible que les données personnelles aient été divulguées ou rendues accessibles à des personnes non autorisées. Il n'est donc pas nécessaire de prouver qu'un tel accès a effectivement eu lieu. Ainsi, en cas de perte d'un support de données, il est souvent difficile d'évaluer si les données qui y sont enregistrées ont effectivement été consultées ou utilisées par des personnes non autorisées. La perte en tant que telle constitue donc déjà une violation de la sécurité des données.
Nouvelle prescription: obligation formelle d’annoncer une violation de la sécurité des données
En cas de violation de la sécurité des données, la LPD révisée prévoit – contrairement à l'ancienne loi qui était en vigueur jusqu'au 31 août 2023 – une obligation formelle d’annoncer pour les organisations agissant en tant que «responsables», à l'instar du règlement général sur la protection des données (RGPD) de l'UE. Contrairement au RGPD, qui prévoit un délai de 72 heures après la prise de connaissance d'une violation de données, la nouvelle LPD ne prévoit pas de délai spécifique pour la notification au Préposé fédéral à la protection des données et à la transparence (ci-après «préposé»). Elle stipule simplement que l’annonce doit avoir lieu dès que possible, dans la mesure où la violation est susceptible d'entraîner un risque élevé pour la personnalité des personnes concernées (par ex. clients de l'entreprise, collaborateurs, etc.). En outre, la LPD révisée oblige les responsables du traitement des données à informer les personnes concernées si cela est nécessaire pour leur protection ou si le préposé le demande. Les prestataires de services, tels que les fournisseurs de cloud computing, qui traitent des données pour le compte de l'organisation concernée (sous-traitants) sont tenus d'informer cette dernière le plus rapidement possible qu’il y a eu violation de la sécurité des données.
Toutes les violations de ce type n'entraînent pas une obligation d’annoncer; en effet, une notification au préposé ne doit être effectuée que si la violation en question comporte un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées. Cette restriction vise à éviter que des violations insignifiantes soient soumises à une obligation d’annoncer. L'organisation doit vérifier ou évaluer de manière autonome et compréhensible si un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée a existé ou existe toujours.
Des obligations d’annoncer supplémentaires peuvent s'appliquer aux entreprises réglementées et/ou cotées en bourse conformément aux dispositions spéciales qui leur sont applicables (dans certaines circonstances, il peut également être opportun d'informer le Centre national de cybersécurité NCSC ou de déposer une plainte pénale auprès des autorités de poursuite pénale compétentes).
Lire la suite avec
- Accès illimité à plus de 500 aides de travail
- Tous les articles payants en accès illimité sur weka.ch
- Actualisation quotidienne
- Nouveaux articles et aides de travail hebdomadaires
- Offres spéciales exclusives
- Bons séminaires
- Invitations aux webinaires en direct