Le tribunal de district de Szczecin (responsable du traitement) a stocké des données à caractère personnel, entre autres, sur des clés USB portables. En 2020, un employé a perdu trois de ces clés USB (une chiffrée et deux privées non chiffrées) contenant des projets de décisions et des données à caractère personnel d’un nombre non identifié de personnes concernées, collectées au cours des années 2004-2020. Dès qu’il a été informé de cet incident, le responsable du traitement a signalé la violation de données à l’autorité polonaise de protection des données, qui a ouvert une enquête d’office.

L’autorité polonaise de protection des données (APD ; Prezes Urzędu Ochrony Danych Osobowych) a demandé des informations sur les mesures organisationnelles et techniques adoptées pour prévenir les failles de sécurité. Le responsable du traitement a indiqué qu’il avait procédé à une analyse des risques dans le cadre de son analyse d’impact sur la protection des données, dans laquelle il avait classé la perte de données à caractère personnel comme un risque de niveau moyen et avait introduit l’obligation de crypter toutes les données à caractère personnel stockées sur des supports portables. En outre, il aurait organisé régulièrement des formations à la sécurité des données pour son personnel et testé deux fois par an l’équipement du personnel.

L’APD polonaise a rendu une décision DKN.5131.12.2020 en date du 19.01.2023 (https://uodo.gov.pl/decyzje/DKN.5131.12.2020#; présentée et traduite ici : https://gdprhub.eu/index.php?title=UODO_(Poland)_-_DKN.5131.12.2020&mtc=today).

Tout d’abord, l’APD a rappelé que le responsable du traitement doit respecter les principes énoncés à l’art. 5 RGPD, notamment le principe d’intégrité et de confidentialité (art. 5 par. 1 let. f RGPD :  « Les données à caractère personnel doivent être: (…) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité); »). Selon ce principe, les données à caractère personnel doivent donc être traitées d’une manière qui garantisse une sécurité appropriée, y compris la protection contre la perte accidentelle.

L’APD a ensuite noté qu’il incombe au responsable du traitement, en vertu de l’art. 24 par. 1 RGPD (« Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire ») de veiller à ce que des mesures techniques et organisationnelles appropriées soient mises en place, conformément à l’art. 32 RGPD, et à ce que le principe de respect de la vie privée dès la conception et par défaut soit mis en œuvre (art. 25 par. 1 RGPD : « Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée. »). À cet égard, l’autorité de protection des données a estimé que l’analyse des risques du responsable du traitement n’incluait pas toutes les menaces possibles, telles que la perte de confidentialité due à l’absence de blocage des ports USB pour empêcher complètement l’utilisation de supports de stockage privés.

Troisièmement, l’APD a estimé que le responsable du traitement n’avait pas correctement veillé à ce que les employés n’utilisent pas de dispositifs portables privés et non cryptés pour stocker des données à caractère personnel. L’APD a ajouté que la garantie de la sécurité et de la confidentialité des données est un processus continu qui nécessite des examens réguliers de l’adéquation et de l’efficacité des mesures techniques et organisationnelles adoptées.

En conclusion, l’APD a constaté une violation de l’art. 5 par. 1 let. f, 24 par. 1 25 par. 1 et 32 RGPD pour ne pas avoir appliqué de manière appropriée les mesures techniques et organisationnelles, ce qui a entraîné une violation de la confidentialité. En outre, le responsable du traitement a enfreint l’art. 5 par. 2 RGPD en n’étant pas en mesure de démontrer qu’il respectait les principes énoncés à l’art. 5 par. 1 RGPD. Pour ces violations, l’autorité de protection des données a imposé une amende de 30 000 PLN au responsable du traitement.

[En droit suisse, la chose serait analysée comme une violation de la sécurité des données portant sur des données sensibles (art. 5 let. c, 8 et 24 nLPD)].

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)