Qu’est-ce qu’une violation de la sécurité ?
Une violation de la protection des données (“data breach”) signifie, pour les données personnelles, que les données personnelles sont perdues, volées, utilisées de manière abusive ou compromises d’une autre manière, sans autorisation ou par inadvertance.
Des exemples typiques sont
Les violations de la sécurité peuvent avoir de graves conséquences – pour les personnes concernées et pour l’entreprise.
Vous avez besoin de soutien ?
Faut-il signaler une blessure ?
Communication au PFPDT
Oui, les violations de la sécurité des données doivent être signalées sous certaines conditions :
Une communication au PFPDT n’est obligatoire que dans les cas suivants des risques élevés (en raison de la violation) pour les personnes concernées. Ce n’est pas une notion claire et il n’existe pas d’exemples contraignants en Suisse.
Moyens auxiliaires
Lorsqu’une déclaration est obligatoire, elle doit le plus rapidement possible doit avoir lieu. Il n’y a pas de durée fixe et il est possible de procéder à certaines clarifications. En cas de doute, il convient toutefois d’annoncer plus rapidement et, le cas échéant, de faire une annonce ultérieure.
Formulaire d’annonce du PFPDT
Le PFPDT met à disposition un formulaire pour l’annonce à ce dernier. Or, ce formulaire demande trop d’informations et le PFPDT est soumis au principe de transparence. Les annonces peuvent donc devenir publiques. Une notification par e‑mail est souvent plus judicieuse.
Notification aux personnes concernées
Les violations de la sécurité des données doivent être signalées aux personnes concernées lorsque celles-ci doivent agir pour se protéger (p. ex. changer un mot de passe, bloquer un compte, renouveler un passeport). Cela peut être le cas même s’il n’est pas nécessaire de faire une déclaration au PFPDT.
Que doivent déclarer les infrastructures critiques ?
La loi fédérale sur la sécurité de l’information au sein de la Confédération (LSIC) est complétée par des dispositions sur l’obligation de notification des exploitants de certaines infrastructures critiques. Les dispositions révisées sont entré en vigueur le 1er avril 2025.
Certaines infrastructures critiques (critis) doivent signaler les cyberattaques :
Personnes à déclarer sont par exemple les autorités, les organismes de sécurité sociale, y compris les caisses de pension, les fournisseurs d’énergie, les banques, les hôpitaux répertoriés, les laboratoires médicaux, les fabricants ou distributeurs de médicaments, les FDA enregistrés et certains fournisseurs dans le domaine du SaaS, du cloud et du matériel informatique, ainsi que divers autres organismes, pour autant qu’ils disposent d’un accès à Internet. Siège en Suisse ont.
Doivent être annoncés cyber-attaques au moins partiellement réussies. Il s’agit d’atteintes intentionnelles à la confidentialité, à la disponibilité ou à l’intégrité d’informations relatives à la traçabilité de leur traitement – le terme clé est “intentionnel” : l’erreur humaine n’est pas couverte. Les scans de ports et autres ne sont pas non plus concernés.
Les cyber-attaques ne doivent toutefois être déclarées que si
Le cas échéant, la déclaration doit être envoyée au Office fédéral de la cybersécurité BACS.
Matériel de travail sur l’ISG
Y a‑t-il d’autres obligations de déclaration ?
Aux obligations de notification prévues par la LPD ou le RGPD et par la LSI peuvent s’ajouter d’autres obligations de notification motivées par les objectifs propres à chaque ordre juridique. Il s’agit notamment des suivantes :