- Le guide clarifie les obligations de notification et d’information selon l’art. 24 LPD : il y a obligation de notification en cas de “risque élevé”, les notifications volontaires sont possibles, délai “le plus rapidement possible”.
- Le PFPDT peut examiner des communications, émettre des injonctions d’information et faire des rapports publics ; cela est soumis à la LTrans et soulève des questions de protection des données et de transparence.
Le 7 février 2025, le PFPDT a publié un “Guide concernant la notification des violations de la sécurité des données et l’information des personnes concernées au sens de l’art. 24 LPD” de huit pages, daté du 6 février 2025 :
Le guide concerne les obligations en cas de violation de la sécurité des données au sens de l’art. 5 let. h LPD, donc uniquement lorsque des données personnelles sont concernées. D’autres obligations de notification, par exemple selon Art. 29 al. 2 LFINMA, après la version révisée de l’ISG etc. ne sont pas couverts par le guide.
Information des responsables
Objet de la déclaration: Le guide reste très succinct sur ce point et renvoie à l’article 15 de la DSV.
Obligation d’enregistrement et droit d’enregistrement:
- Le PFPDT prend déclarations volontaires en cas de risques plus faibles, en particulier lorsqu’il peut y avoir un intérêt médiatique (ce qui est toutefois généralement déconseillé, sauf dans les cas où les médias risquent de toute façon de s’intéresser à l’affaire, parce que le PFPDT est soumis à la LTrans [voir ci-dessous] et que les médias peuvent exiger des informations supplémentaires, ce qu’ils font régulièrement, et parce que le PFPDT, lorsqu’il publie des informations, n’est pas tenu de le faire. est très généreux). Les déclarations volontaires ne peuvent malheureusement toujours pas être faites via le Formulaire de notification de violation du PFPDT et c’est pourquoi il faudrait au moins que ces déclarations soient faites sous une autre forme.
- Une Déclaration obligatoire existe en cas de “risques élevés”. Comme la LPD ne définit pas de manière uniforme les niveaux de risque, l’article 24 LPD doit être interprété de manière autonome, pour ainsi dire. Le guide ne précise pas quand un risque est élevé dans ce sens ; il contient uniquement des indications sur la manière de déterminer le risque (mais pas à partir de quand il est élevé) :
- Il ne faut pas prendre en compte Mesures prises seulement après la violation être prises. “Dans la pratique actuelle”, le PFPDT a toutefois pu prendre en compte des mesures immédiates qui ont pris effet avant même la notification. Cela semble toujours être le cas, même si le guide manque justement d’une déclaration claire à ce sujet. Le fait que de telles mesures soient importantes ne résulte pas seulement du fait que le PFPDT renvoie à sa pratique “antérieure”, sans toutefois s’en écarter clairement, mais aussi de l’objectif normatif de l’obligation de déclarer. Il est donc sans doute juste de faire référence à l’exigence d’un risque élevé au moment de la notification et non pas ou pas seulement au moment de la survenance de la violation. “En cas de doute, il convient toutefois de déclarer et non d’attendre.
- Gravité des conséquencesCelle-ci est à déterminer en fonction de
- le niveau de protection des données ;
- la nature et les circonstances de la violation ;
- du cercle et des motivations des tiers non autorisés ;
- la charge de travail liée à la détermination des personnes concernées (la communication de données anonymes pour les destinataires – par ex. efficacement cryptées – ne tombe pas sous le coup de l’art. 24 LPD, comme le relève à juste titre le PFPDT) ;
- de la quantité de données et de la durée de traitement (la raison de ce dernier point n’est pas claire et reste discutable) ;
- des éventuels inconvénients idéaux et économiques ;
- la vulnérabilité des personnes concernées ; et
- de la quantité totale de personnes et de données concernées.
- Probabilité d’occurrenceIl s’agit ici d’une estimation, raison pour laquelle le responsable ne doit pas attendre d’avoir des certitudes.
Délai d’inscriptionLes blessures à déclarer doivent être signalées le plus rapidement possible, le cas échéant par étapes. Le portail de déclaration peut être utilisé, mais ce n’est pas obligatoire, et le formulaire demande également des informations non obligatoires, qui peuvent alors devenir publiques.
Procédure à suivre en cas de signalement: Reçoit une notification de blessure
- le PFPDT examine sommairement si les mesures prises ou prévues pour protéger les personnes concernées semblent adéquates. Le cas échéant, le PFPDT demande de préciser les informations ou de prendre d’autres mesures, et le PFPDT peut prendre contact avec le responsable afin que l’incident soit documenté (p. ex. en sauvegardant des données log) ;
- il vérifie que les personnes concernées sont informées de manière adéquate et le PFPDT peut informer le public de ses constatations et de ses injonctions (un problème, car cela conduit à ce que même des communications utiles tendent à être omises et parce que la pratique du PFPDT en matière de publication va énormément loin).
PublicLe PFPDT rappelle expressément que le contenu des communications est soumis à la LTrans.
SanctionsLa violation de l’obligation d’annoncer au PFPDT n’est pas sanctionnée (et ne constitue pas non plus une atteinte à la personnalité). Seule une infraction à une décision du PFPDT serait punissable.
Information des personnes concernées
Selon l’art. 24 al. 4 LPD, le responsable doit informer les personnes concernées d’une violation de la protection des données si l’information est nécessaire pour protéger les personnes concernées (ou si le PFPDT l’ordonne) :
DéclencheurUne communication est nécessaire pour protéger les personnes concernées (contrairement à une partie de la littérature, mais en accord avec le BSK : même s’il n’y a pas d’obligation de communiquer au PFPDT, c’est-à-dire que le risque n’est pas élevé dans ce sens),
- si ces Mesures d’autoprotection (p. ex. modification du mot de passe, blocage de la carte de crédit, vigilance accrue en raison du risque d’hameçonnage) ou si les personnes concernées “ignorent la situation […]. s’attendre au pire“même si le risque peut être faible. Le PFPDT ne justifie pas davantage le fait qu’une information puisse être juridiquement obligatoire dans une telle situation ; le message ne dit rien de tel. Il s’agit probablement d’un cas rare, mais le PFPDT pourrait ordonner une communication ;
- si le le PFPDT ordonne une communication. Selon le guide, il peut le faire non seulement lorsque la protection des personnes concernées l’exige, mais aussi parce que les médias s’y intéressent :
Mais il peut aussi l’exiger parce qu’il estime qu’en raison du grand nombre de personnes concernées ou d’une couverture médiatique, il existe un risque de discrimination. il existe un intérêt publicque les responsables ne tiennent pas compte du grand nombre de personnes concernées et donc indirectement, un large public de manière appropriée avec plus d’informations sur les conséquences d’une violation de la sécurité des données.
Cela doit être rejeté. L’injonction du PFPDT est conçue comme une mesure visant à inciter le responsable à remplir son obligation de communication ; cela ressort clairement tant de la systématique de la loi que du but de la norme et du message. Cela découle en outre de l’art. 57, al. 2 LPD : le PFPDT peut – s’il existe effectivement un intérêt public suffisant – informer le public de ses “constatations et décisions”. Mais le PFPDT ne peut certainement pas ordonner une mesure uniquement pour en rendre compte ensuite, ce à quoi sa position se résume. La tâche du PFPDT consiste à surveiller l’application de la LPD, qui doit être interprétée dans les règles de l’art (art. 4, al. 1 LPD), et non à collaborer avec les médias ou à se comporter lui-même comme un média. Il serait donc illégal d’ordonner une communication aux personnes concernées sur la base de cette motivation.
ManièreLes personnes concernées doivent être informées en vertu de l’article 15, paragraphe 3 du RGPD “dans un langage simple et compréhensible” et avec certaines indications minimales, mais il n’existe pas de prescriptions de forme. Exceptionnellement, un avis public peut suffire, à condition que l’information des différentes personnes concernées soit ainsi garantie.