- L’annonce d’une violation de la sécurité des données selon l’art. 24, al. 6 LPD ne peut être utilisée dans une procédure pénale qu’avec l’accord de la personne soumise à l’obligation d’annoncer.
- Protection selon le texte en premier lieu pour le responsable ; l’interprétation pourrait toutefois aussi protéger contre l’auto-incrimination des personnes agissant.
- A l’étranger, la déclaration peut avoir des conséquences négatives : Exemple en Italie, le Garante a infligé une amende de EUR 30’000 à un organisme public.
- Garante a critiqué l’absence de mesures de détection et de sécurité du réseau, ainsi que la violation de Privacy by Design après l’annonce d’une attaque par ransomware.
On peut se demander si les Notification d’une violation de la sécurité des données n’entraîne pas le risque d’être sanctionné pour une Violation des exigences de sécurité – qui peut être à l’origine d’une brèche, mais pas nécessairement. En Suisse, c’est l’article 24, paragraphe 6, de la loi sur la protection des données qui régit cette question :
Une communication faite sur la base du présent article ne peut être utilisée dans une procédure pénale contre la personne soumise à l’obligation de communiquer qu’avec le consentement de celle-ci.
D’après le texte, cette disposition ne protège toutefois que la personne soumise à l’obligation de déclarer, c’est-à-dire le responsable, et non pas les personnes responsables d’une violation et éventuellement punissables. On peut toutefois interpréter la disposition dans le sens que ce sont ces dernières qui doivent être protégées contre une auto-incrimination et non pas seulement le responsable dont la violation de la protection des données est imputée à certaines personnes par le biais de l’art. 29 CP et de l’art. 6 DPA (le message est muet sur cette question).
A l’étranger, la notification d’une violation de la sécurité peut toutefois avoir des conséquences indésirables. Un exemple en est une décision du garante italienne Le Garant avait infligé une amende de 30 000 euros à une institution de l’administration publique pour ne pas avoir protégé de manière adéquate les données personnelles – y compris les données relatives à la santé – de 842 000 patients et collaborateurs. Il manquait par exemple des mesures de détection immédiate de la violation de la sécurité et de sécurité du réseau (pas d’authentification à plusieurs facteurs ; pas de segmentation du réseau) ; le principe de privacy by design avait ainsi été violé. Le garant a pris connaissance de ces violations après l’annonce d’une attaque par ransom.