Les « failles » sont des situations fréquentes et surtout très médiatiques. Que cela soit récemment avec la faille qui a mis en difficulté Facebook avec plus de 50 million de comptes touchés, ou encore avec Google plus dont on apprend qu’au moins 500 000 comptes ont été affectés. C’est dans cet environnement effervescent qu’un état des lieux juridique sur le sujet (ou tout du moins un partie du sujet) s’impose.

On entend trop souvent parler de « failles », peut être en raison de la mauvaise traduction que l’on peut faire de « breach » ou encore de l’aura sensationnelle qui s’en dégage. La faille n’est que la pointe émergée de l’iceberg. En effet, si on suit le Règlement général sur la protection des données (« RGPD »), le terme à utiliser est celui de « violation » de données à caractère personnel.

  1. La violation recoupe plusieurs situations

Le responsable du traitement doit d’abord être capable de la reconnaître une violation pour pouvoir y remédier. Le RGPD définit dans son article 4 (12), une « violation de données à caractère personnel » comme une:

«une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données

Le terme «destruction» des données à caractère personnel renvoi au moment où les données n’existent plus techniquement ou sous une forme inutile pour le responsable du traitement. Le terme de «perte» de données à caractère personnel devrait être interprété comme le fait de perdre le contrôle, l’accès ou la possession des données personnelles sans pour autant qu’elles aient disparu pour le responsable du traitement. Enfin, un traitement « non autorisé » ou « illicite » peut inclure la divulgation de données à caractère personnel à (ou l’accès par) des destinataires qui ne sont pas autorisés à recevoir (ou à accéder) aux données, ou toute autre forme de traitement qui enfreint le RGPD, notamment le détournement de finalité ou la divulgation non autorisée.

Exemple: La perte de données personnelles peut inclure la perte ou le vol d’un dispositif contenant une copie de la base de données client du responsable du traitement. Un autre exemple de perte peut être le cas où la seule copie d’un ensemble de données personnelles a été cryptée par un ransomware ou cryptée par le responsable du traitement à l’aide d’une clé qui n’est plus en sa possession. Cette situation est arrivée à de nombreux avocats.

Une violation est un type d’incident de sécurité. Toutefois, comme l’indique l’article 4 (12) du RGPD, celui-ci ne s’applique qu’en cas de violation de données à caractère personnel. La conséquence d’une telle violation se trouve dans l’absence de garanties du respect des principes relatifs au traitement des données à caractère personnel énoncés à l’article 5 du RGPD par le responsable du traitement. Cela pointe très clairement du doigt la différence entre un incident de sécurité et une violation de données à caractère personnel. C’est-à-dire que, bien que toutes les violations de données à caractère personnel sont des incidents de sécurité, tous les incidents de sécurité ne sont pas nécessairement des violations de données à caractère personnel.

  1. La violation de données à caractère personnelles peut être classée en plusieurs types

Dans ses lignes directrices sur la notification des violations, le G29 a expliqué que les violations peuvent être classées selon les trois principes:

  • «violation de la confidentialité» – en cas de divulgation ou d’accès non autorisé ou accidentel à des données personnelles.

  • «violation de l’intégrité» – en cas de modification non autorisée ou accidentelle de données à caractère personnel.

  • «violation de la disponibilité»: en cas de perte d’accès ou de destruction non autorisée de données à caractère personnel.

Il convient également de noter que, selon les circonstances, une violation peut concerner alternativement ou cumulativement l’intégrité, la confidentialité et la disponibilité des données à caractère personnel.

Exemples : on pense à l’affaire Cambridge Analytica où les données utilisées avaient été collectées de manière malhonnête et dont l’accès n’était pas, in fine, autorisé. C’est aussi le cas pour l’affaire de la faille Facebook ou encore Google plus où la violation à la confidentialité est claire dans la mesure où les pirates ont eu un accès non autorisé aux données personnelles des utilisateurs à très grande échelle.

L’affaire du « Payroll data leak » de Morissons  par un employé mécontent qui a conduit à une class action est aussi un bon exemple de violation de la confidentialité via une divulgation.

Concernant l’intégrité, l’affaire d’avril 2015 concernant l’Office of Personal Management aux Etats-Unis. Cette attaque a menacé  la confidentialité mais aussi l’intégrité de l’activité en étant susceptible de permettre aux pirates de délivrer de fausses informations.

La violation de la disponibilité, quant à elle, peut-être plus subtile. En effet, une violation sera toujours considérée comme une violation de disponibilité en cas de perte ou de destruction permanente de données à caractère personnel.

Exemples du WP29: Les exemples de perte de disponibilité incluent les cas où des données ont été supprimées accidentellement ou par une personne non autorisée, ou, dans l’exemple des données chiffrées de manière sécurisée, la clé de déchiffrement a été perdue. Si le responsable du traitement ne peut pas restaurer l’accès aux données, par exemple à partir d’une sauvegarde, cette situation est considérée comme une perte permanente de disponibilité.

Une perte de disponibilité peut également se produire en cas de perturbation importante du service normal d’une organisation, par exemple en cas de coupure de courant ou d’attaque par déni de service (DDOS), rendant les données personnelles inaccessibles.

On peut se demander si une perte temporaire de disponibilité de données à caractère personnel devrait être considérée comme une violation et, dans l’affirmative, à la signaler. L’article 32 du RGPD, «Sécurité du traitement», explique que, lors de la mise en œuvre de mesures techniques et organisationnelles visant à garantir un niveau de sécurité approprié au risque, il convient notamment de prendre en compte la capacité « de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement » et la capacité de « rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ».

Exemple : Google plus a décidé de rendre indisponible son service pendant environ 6 mois à la suite de la violation de la confidentialité de ses données. On pourrait, en toute hypothèse, analyser ces deux décisions comme liées l’une à l’autre.

Par conséquent, un incident de sécurité entraînant la perte de données à caractère personnel pendant un certain temps constitue également un type de violation, dans la mesure où le défaut d’accès aux données peut avoir une incidence importante sur les droits et libertés des personnes physiques. A l’inverse, lorsque des données à caractère personnel sont indisponibles en raison de la maintenance planifiée du système, il ne s’agit pas d’une «violation de la sécurité» au sens de l’article 4 (12) du RGPD. Parce que la notion d’« incident » renvoie au caractère fortuit, quand l’indisponibilité est prévue, le caractère fortuit, nécessaire pour parler d’incident, n’est pas rapporté.

Comme dans le cas d’une perte ou d’une destruction permanente de données à caractère personnel (ou de tout autre type de violation), une violation impliquant une perte temporaire de disponibilité devrait être documentée conformément à l’article 33 (5) du RGPD. Cette documentation sert au responsable du traitement à remplir son obligation de transparence et de compte-rendu à l’Autorité de contrôle (accountability), qui peut demander à consulter ces enregistrements. Toutefois, selon les circonstances de la violation, il peut être nécessaire de notifier à l’autorité de surveillance et de communiquer avec les personnes concernées. Le responsable du traitement devra évaluer la probabilité et la gravité des conséquences pour les droits et libertés des personnes physiques du fait de la non-disponibilité des données à caractère personnel. Le cas échéant et conformément à l’article 33 du RGPD, le responsable du traitement devra alors notifier les personnes concernées aussi. Bien entendu, cette évaluation reste très casuistique.

Exemple du WP29 : Dans le contexte d’un hôpital, si des données médicales critiques sur les patients ne sont pas disponibles, même temporairement, cela pourrait présenter un risque pour les droits et libertés des personnes voire un risque pour leur santé par exemple, des opérations peuvent être annulées et des vies mises en danger.

Inversement, dans le cas où les systèmes d’une entreprise de médias sont indisponibles pendant plusieurs heures (en raison d’une panne de courant, par exemple), si cette entreprise est ensuite empêchée d’envoyer des bulletins à ses abonnés, il est peu probable que cela pose un risque pour les droits et libertés des personnes.

Il convient de noter que, même si une perte de disponibilité des systèmes du responsable du traitement peut n’être que temporaire et ne pas avoir d’incidence sur les individus, il est important que le responsable du traitement examine toutes les conséquences possibles d’une violation, dans la mesure où il se peut que des notifications soient nécessaires pour d’autres raisons.

Exemple du WP29 : L’infection par ransomware (logiciel malveillant qui crypte les données du responsable du traitement jusqu’au paiement d’une rançon) pourrait entraîner une perte temporaire de disponibilité si les données pouvaient être restaurées à partir d’une sauvegarde. Toutefois, une intrusion réseau persiste et une notification peut être requise si l’incident est qualifié de violation de confidentialité (c’est-à-dire que l’attaquant accède à des données personnelles et a pu les copier), ce qui présente un risque pour les droits et libertés des personnes.

  • Les répercussions potentielles d’une violation de données à caractère personnelle pour les individus

Une violation peut potentiellement avoir un effet ou une série d’effets négatifs importants sur les individus, susceptible d’entraîner des dommages pour ces personnes. Le RGPD explique qu’il peut s’agir d’une perte de contrôle de leurs données personnelles, d’une limitation de leurs droits, d’une discrimination, d’un vol d’identité ou d’une fraude, d’une perte financière, d’une inversion non autorisée de pseudonymisation, d’une atteinte à la réputation et d’une perte de confidentialité des données personnelles protégées par le secret professionnel. Cela peut également inclure tout autre désavantage économique ou social important pour ces personnes ainsi que discriminations, atteintes à la vie privée, privation d’un droit, etc.

En conséquence, le RGPD exige du responsable du traitement qu’il signale une violation à l’autorité de surveillance compétente. Lorsqu’il existe un risque élevé que ces effets indésirables se produisent, le RGPD demande au responsable du traitement de signaler l’infraction aux personnes concernées dès que cela est raisonnablement possible, en outre.

Le considérant 87 du RGPD souligne qu’il est important de pouvoir identifier une violation, d’évaluer le risque pour les individus et de le signaler, le cas échéant :

« Il convient de vérifier si toutes les mesures de protection techniques et organisationnelles appropriées ont été mises en œuvre pour établir immédiatement si une violation des données à caractère personnel s’est produite et pour informer rapidement l’autorité de contrôle et la personne concernée. Il convient d’établir que la notification a été faite dans les meilleurs délais, compte tenu en particulier de la nature et de la gravité de la violation des données à caractère personnel et de ses conséquences et effets négatifs pour la personne concernée. Une telle notification peut amener une autorité de contrôle à intervenir conformément à ses missions et à ses pouvoirs fixés par le présent règlement. »

  1. Les sanctions de la mauvaise gestion de la violation par le responsable du traitement

Dans le cas où les responsables du traitement omettent d’informer l’autorité de contrôle ou les personnes concernées d’une violation de données, ou les deux, alors même que les exigences des articles 33 et/ou 34 du RGPD sont remplies, l’autorité de contrôle se voit proposer un choix.

Ce choix  est fait parmi l’ensemble des mesures correctives à sa disposition : avertissement, mise en demeure et amende administrative appropriée, seule ou accompagnée d’une mesure corrective visée à l’article 58 (2) du RGPD.

Lorsqu’une amende administrative est choisie, sa valeur peut aller jusqu’à 10 000 000 d’euros ou jusqu’à 2% du chiffre d’affaires annuel mondial total d’une entreprise au sens de l’article 83 (4), point a) du RGPD. Il est également important de garder à l’esprit que, dans certains cas, le fait de ne pas notifier une violation peut révéler une absence ou insuffisance de mesures de sécurité existantes.

A ces sanctions d’ajoutent évidemment les préjudices que peut subir l’entreprise (recours de ses clients, recours des personnes physique, préjudice d’image, perte de part de marché,… dès lors que son manquement est connu du public. Facebook en est un bon exemple.

Les directives du WP29 sur les amendes administratives disposent que: «La survenance de plusieurs infractions différentes commises ensemble dans une même affaire signifie que l’autorité de contrôle est en mesure d’appliquer les amendes administratives à un niveau efficace, proportionné et dissuasif dans la limite de l’infraction la plus grave ».

Dans ce cas, l’autorité de contrôle aura également la possibilité d’imposer des sanctions, d’une part, pour non-notification ou communication de la violation (articles 33 et 34 du RGPD) et, d’autre part, pour absence de mesures de sécurité (adéquates) (article 32 du RGPD), car il s’agit de deux infractions distinctes.

La règlementation sur la gestion des violations de données personnelles et leurs conséquences évolue avec le temps, en parallèle avec la multiplication des violations de données. On ne peut que se réjouir de cet encadrement, même si on peut concevoir que de nombreux responsables du traitements préfèreront toujours « mettre la poussière sous le tapis » pour éviter une éventuelle atteinte à l’e-réputation du service et de l’entreprise. C’est le cas de Google plus, qui a choisi de ne révéler la violation que plusieurs mois après, préférant ainsi une potentielle sanction pécuniaire et une sanction du marché moins vive peut être, à un respect des règles et une sanction dure des utilisateurs comme cela a été le cas pour Facebook.