L’autorité suédoise de protection des données (Integritetsskyddsmyndigheten – IMY ; ci-après l’APD) a reçu des plaintes alléguant que le 20 janvier 2021, Indecap (le responsable du traitement) a envoyé à d’autres clients un message électronique contenant un fichier de données à caractère personnel concernant, entre autres, les finances des clients.

Le responsable du traitement a reconnu l’erreur et expliqué que la violation était due à une erreur humaine. Un employé avait joint la mauvaise feuille Excel par erreur parce qu’elle portait le même nom que le bon fichier. Le fichier erroné contenait des informations sur le nom des clients, leur numéro de sécurité sociale, leur banque, le nom de leur conseiller bancaire, leur adresse électronique, le niveau de risque sélectionné, la répartition des fonds (limitée à la sélection de fonds individuels) et la dernière valeur chargée des avoirs des clients dans ces fonds. Les envois erronés concernaient les données personnelles de 52 364 personnes concernées et ont été reçus par un maximum de 2 813 personnes.

Indecap a pris diverses mesures pour atténuer les conséquences de la violation. Elle a lancé une enquête sur l’incident en collaboration avec des experts externes afin d’identifier les risques internes et d’élaborer un plan d’action interne. Elle a informé les personnes concernées de l’incident, mis en œuvre des mesures de sécurité techniques supplémentaires et organisé des sessions de formation supplémentaires pour les employés. Elle a également contacté les destinataires qui avaient reçu le courriel contenant des données personnelles et leur a demandé de supprimer le message et de confirmer qu’il avait bien été supprimé. Enfin, Indecap a déposé une notification de violation de données personnelles auprès de l’autorité suédoise de protection des données et a également fait un rapport à l’autorité suédoise de surveillance financière.

Indecap a déclaré que le fichier avait été joint à l’e-mail à la suite d’une erreur commise par un employé. Cependant, en tant que responsable du traitement des données, Indecap est responsable de tous les traitements de données à caractère personnel effectués sous sa direction ou en son nom. La DPA suédoise a donc choisi d’infliger une amende à Indecap et non à l’employé.

Indecap est une société qui fait commerce de titres, ce qui signifie que la nature de son travail impose des normes de protection élevées puisqu’elle traite, entre autres, des informations financières et des numéros de sécurité nationale. Ces normes élevées sont également reflétées dans le droit national. Le chapitre 1, section 11, premier paragraphe de la loi sur le marché des valeurs mobilières (2007:528) stipule qu’une personne qui est ou a été affiliée à une société de valeurs mobilières ne peut pas divulguer ou utiliser sans autorisation ce qu’elle a appris dans le cadre de son emploi ou de sa mission sur les affaires ou la situation personnelle de quelqu’un d’autre. Il était donc évident que le traitement en question comportait un risque élevé.

Conformément à l’article 32 du RGPD, Indecap a l’obligation de protéger les données à caractère personnel qu’elle traite en prenant les mesures techniques et organisationnelles appropriées. Le traitement des données à caractère personnel a eu lieu dans le cadre des activités de base d’Indecap, pour lesquelles l’entreprise aurait dû être en mesure d’assurer un niveau de sécurité approprié. Selon les propres informations d’Indecap, la raison pour laquelle le fichier a été joint par erreur était qu’il portait un nom similaire à celui d’un autre fichier contenant des informations générales sur les performances des fonds. Cela suggère qu’Indecap n’avait pas d’instructions suffisamment claires pour éviter que des documents contenant des données sur les clients ne soient mélangés à d’autres documents. En outre, la violation a concerné un grand nombre de personnes concernées (environ 52 000 personnes).

Pour ces raisons, l’autorité suédoise de protection des données a estimé qu’Indecap avait enfreint l’article 32, paragraphe 1, du règlement GDPR et lui a infligé une amende d’environ 43 700 euros.

(Autorité suédoise de protection des données (Integritetsskyddsmyndigheten – IMY), décision IMY – DI-2021-3422 du 07.11.2023 : https://www.imy.se/globalassets/dokument/beslut/2023/beslut-tillsyn-indecap.pdf; présentée et résumée sur gdprhub : https://gdprhub.eu/index.php?title=IMY_%28Sweden%29_-_DI-2021-3422&mtc=today)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)