Or donc il était une fois un politicien suisse de haut rang qui se prit d’investir dans les cryptomonnaies « pour comprendre comment elles fonctionnaient ». On relèvera avec plaisir que l’idéologie ne s’était ainsi pas mise en travers de sa recherche de la vérité et de la connaissance, et que l’on pouvait donc utiliser les outils de la spéculation pour la comprendre et la combattre !

Patatras ! Il s’est avéré depuis lors que la société française X., qui offrait ses services à notre chercheur et à d’autres, incluant l’achat, le stockage et la sécurité de cryptomonnaies, avait été victime d’un vol de données au mois de juin 2020. Parmi les données hackées, qui se retrouvent aujourd’hui accessibles sur le dark web, figuraient apparemment l’adresse privée dudit politicien, son email personnel et le numéro de téléphone de son domicile.

Notre chapeau à plume, par un de ses porte-paroles, affirme ce dimanche qu’il n’était « pas au courant » de ce vol de données.

La société X. dit pourtant avoir informé ses clients par emails après le hacking ; elle fournit par ailleurs aussi des informations sur son site internet.

C’est le lieu de rappeler que la société X. est une société française, soumise au Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, dit règlement général sur la protection des données (RGPD).

L’art. 34 al. 1 RGPD prévoit que le responsable de traitement devra communiquer dans les meilleurs délais à la personne concernée une violation de données si celle-ci est susceptible d’engendrer un risque élevé pour ses droits et libertés, et ce afin qu’elle puisse prendre les précautions qui s’imposent. Il y a « risque élevé » « when the breach may lead to physical, material or non-material damage for the individuals whose data has been breached. Exemples of such damage are discrimination, identity theft or fraud, financial loss and damage to reputation » (G29, Guidelines on Personal data breach notifications under Regulation 2016/679, rev. 6 Feb. 2018 p. 29).

La communication devra s’effectuer aussi rapidement que possible, et en coopération étroite avec l’autorité de contrôle.

La violation des obligations découlant de l’art. 34 al. 1 peut être sanctionnée d’une amende administrative pouvant aller jusqu’à Euros 10’000’000 ou 2% du chiffre d’affaires annuel mondial (art. 83 al. 4 let. a RGPD).

En l’occurrence la société X. vendait notamment des moyens de stockage externes de cryptomonnaies. Il n’est ainsi pas anodin que les adresses privées de clients soient divulguées, ce qui pouvait permettre d’organiser le vol de ces supports. On peut aussi imaginer des campagnes de « phishing » pour voler des mots de passe permettant d’accéder aux cryptomonnaies, des tentatives de pression, etc.

C’est donc apparemment assez logiquement que la société a fait le choix d’informer ses clients, ce qu’elle dit avoir fait. Notre politicien, s’il estime avoir passé à travers les mailles du filet et ne pas avoir été dûment informé pourra toujours introduire une réclamation auprès de l’autorité de contrôle du lieu où la violation a été commise (art. 77 al. 1 RGPD).

Nul doute qu’il le fera, tant la sécurité des données et de leurs échanges est un intérêt public important, que cela soit en Suisse ou en Europe.

[Source : https://www.bloomberg.com/news/articles/2021-12-12/swiss-minister-s-data-exposed-after-buying-crypto-paper-says

L’obligation d’informer dans le nouveau droit suisse de la protection des données : https://droitdutravailensuisse.com/2021/06/27/obligation-dannoncer-les-violations-de-la-securite-des-donnees-data-breach/%5D

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)