RGPD : les fuites de données doivent-elles être signalées ?

Cela fait des mois qu'il n'y en a plus que pour le RGPD. Le 25 mai 2018, tous les entrepreneurs belges qui collectent des données de citoyens de l'Union européenne devront se conformer au RGPD, ce qui implique entre autres l'obligation de signaler les fuites de données.

Gestion et protection de données à caractère personnel

Le Règlement Général sur la Protection des Données (ou General Data Protection Regulation - GDPR) règle la gestion et la protection des données à caractère personnel des citoyens européens.

Il s'applique à toutes les entreprises - quelle que soit leur taille - établies dans l'Union européenne qui collectent des données à caractère personnel et/ou suivent le comportement de citoyens de l'Union européenne. Les entreprises établies hors de l'Espace économique européen (Union européenne + Norvège + Islande + Liechtenstein) tombent également sous le coup de la nouvelle législation si elles fournissent des biens et/ou services à des citoyens de l'Union européenne.

Qu'entend-on par données à caractère personnel ?

Il s'agit de toute information se rapportant à une personne physique identifiée ou identifiable. Les caractéristiques générales qui ne peuvent être rattachées à une personne ne sont pas des données à caractère personnel (par exemple une adresse e-mail générale, telle que info@, contact@ ; un nom d'entreprise sans nom de personne ; le numéro de TVA d'une entreprise). Une combinaison de caractéristiques générales en revanche peut rendre une personne identifiable, avec pour conséquence qu'elle devient une donnée à caractère personnel.
Certaines données sont sensibles par nature et font l'objet d'une protection spécifique, telles les données concernant les convictions politiques ou religieuses, les données concernant l'appartenance syndicale ou les données génétiques comme l'ADN.

L'impact du RGPD est considérable. À partir du 25 mai 2018, vous devrez pouvoir prouver quelles données à caractère personnel vous collectez et comment vous utilisez et protégez ces données. Le RGPD vous contraint également à signaler toute fuite de données.

Quand est-il question d'une fuite de données ?

Par fuite ou violation de données à caractère personnel au sens du RGPD, il convient d'entendre une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération ou la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.
Exemples : une clé USB contenant une copie de la base de données clients a été volée ou perdue, des données à caractère personnel ont été cryptées par un ransomware (rançongiciel) et il n'en existe aucune copie, des données à caractère personnel ont été cryptées mais le responsable du traitement a perdu la clé et ne peut donc plus les décrypter, un virus efface toutes les données clients de la base de données.

Que faire en cas de fuite de données ?

Avant l'entrée en vigueur du RGPD, la notification d'une fuite de données en dehors du secteur des télécommunications n'était pas légalement obligatoire mais était conseillé. La fuite est signalée par le responsable du traitement des données. Le délai de notification est en principe de 48 heures maximum après que la fuite de données a été constatée.

À partir du 25 mai 2018, conformément au RGPD, toute fuite de données devra être signalée à l'autorité de contrôle compétente. Pour la Belgique, il s'agit de l'Autorité de Protection des Données (APD), l'ancienne Commission de la Protection de la Vie Privée.
Toute fuite de données doit être signalée, à moins qu'il soit peu probable qu'elle engendre un risque pour les droits et libertés des personnes physiques, par exemple lorsqu'il s'agit de données à caractère personnel qui sont déjà accessibles publiquement ou lorsque les données à caractère personnel sont suffisamment cryptées et qu'il existe une copie de sauvegarde de ces données.
Dans certains cas, lorsque la fuite de données présente un risque élevé pour les droits et libertés des personnes physiques, elle doit également être signalée aux personnes concernées par la fuite de données.

Dans quel délai faut-il signaler une fuite de données ?

Vous - le responsable du traitement - devez signaler la fuite de données à l'APD dans les 72 heures après que vous en avez pris connaissance. Citons à titre d'exemples d'une telle prise de connaissance, la constatation de la perte d'une clé USB contenant des données à caractère personnel ou le message d'un tiers qui vous informe qu'il a reçu par accident les données à caractère personnel de votre client.
Pendant ces 72 heures, vous contrôlez si la fuite de données présente un risque potentiel pour les droits et libertés des personnes physiques. Le défaut de notification d'une fuite de données dans les 72 heures ne donne pas nécessairement lieu à une sanction mais tout retard doit être motivé.

Quelles sont les informations à fournir lors de la notification ?

Informations à fournir à l'Autorité de protection des données :

• la nature de la fuite de données ;
• les catégories de personnes concernées (clients, travailleurs, enfants, patients...) ;
• les catégories de données à caractère personnel (données financières, données sanitaires, adresses...) ;
• le nombre (approximatif) de personnes concernées et le nombre (approximatif) d'enregistrements de données à caractère personnel concernés ;
• le nom et les coordonnées du délégué à la protection des données (data protection officer ou DPO) (ou d'un autre point de contact si aucun délégué à la protection des données n'a été désigné) ;
• les conséquences probables de la fuite de données ;
• les mesures déjà prises ou proposées.

Informations à fournir à la personne concernée :

• la nature de la fuite de données ;
• le nom et les coordonnées du délégué à la protection des données (ou d'un autre point de contact) ;
• les conséquences probables ; et
• les mesures proposées ou prises.

Cette obligation de notification ne s'applique pas lorsque des mesures de protection techniques et organisationnelles ont été prises (cryptage...) ; ou lorsqu'une communication publique ou une mesure similaire suffit. Une réévaluation constante s'impose. Si, au bout d'un certain temps, la condition n'est plus d'application, il se peut en effet qu'une notification soit malgré tout nécessaire.

Liste des fuites de données et documentation

Retenez bien ce qui suit. Vous devez documenter la fuite de données, ses conséquences et les mesures correctives prises. L'APD peut vous demander cette documentation, y compris concernant les fuites de données non signalées. La non-documentation ou la documentation insuffisante d'une fuite de données peut donner lieu à des sanctions.
Il est également conseillé de tenir un registre interne des fuites de données. Il ne doit pas nécessairement s'agir d'un registre distinct. Vous pouvez reprendre les fuites dans le registre général des activités de traitement.
En conclusion. Le RGPD prévoit de lourdes amendes administratives en cas de non-respect de la réglementation. Reste à voir si ces amendes seront infligées en première instance de manière à établir un précédent.