Les problèmes de violation de sécurité des données ne sont pas toujours le fait de hackers ou la conséquence de la mise en œuvre de moyens sophistiqués. En témoigne une décision polonaise sur la perte d’une clé usb :

Le responsable du traitement est une entreprise qui exploite des restaurants. Le 26 juillet 2023, le responsable du traitement a informé l’autorité de protection des données polonaises (APD ; Prezes Urzędu Ochrony Danych Osobowych) d’une violation de données survenue le 19 juillet 2023 : un employé avait perdu une clé USB contenant des données non cryptées sur un autre employé, telles que son adresse, sa date de naissance, son passeport, sa photo et ses données salariales. De plus, certaines données financières étaient stockées sur la clé de manière cryptée.

Le responsable de traitement a déclaré qu’il avait demandé à tous les employés de crypter leurs fichiers lorsqu’ils étaient stockés sur une clé USB externe et que la perte s’était produite dans les locaux du lieu de travail.

Dans une décision UODO – DKN.5131.29.2023 du 29.04.2024, présentée et commentée sur gdprhub (https://gdprhub.eu/index.php?title=UODO_(Poland)_-_DKN.5131.29.2023&mtc=today), l’APD a rappelé que, conformément à l’article 5(1)(f) du RGPD, les données à caractère personnel doivent être traitées de manière à garantir une sécurité adéquate des données à caractère personnel au moyen de mesures techniques ou organisationnelles appropriées. Selon l’APD, une concrétisation de ce principe est l’article 24(1) du RGPD , qui oblige le responsable du traitement à mettre en œuvre des mesures techniques et organisationnelles appropriées pour effectuer le traitement conformément au RGPD.

Par ailleurs, l’APD a souligné que le responsable du traitement doit également se conformer à l’obligation prévue par l’article 32 du RGPD . Elle a noté que cet article oblige le responsable du traitement à effectuer une analyse en deux étapes : d’une part, il doit déterminer les risques inhérents au traitement des données à caractère personnel et, d’autre part, déterminer quelles mesures techniques et organisationnelles seront appropriées pour assurer un degré de sécurité correspondant à ce risque.

L’APD a constaté que l’analyse des risques effectuée par le responsable du traitement incluait bien la possibilité d’un vol de la clé USB, mais pas celle d’une perte de celle-ci. L’APD a donc estimé que le responsable du traitement n’avait pas pris en compte tous les risques possibles liés à l’utilisation de supports de données externes par les employés.

En outre, l’APD a souligné que, même si le responsable du traitement avait pris en compte ce risque, il n’avait pas mis en œuvre des mesures de sécurité suffisantes. L’APD a reconnu que le responsable du traitement avait demandé à ses employés de crypter les données contenues dans les clés USB. Cependant, l’APD a également noté que le responsable du traitement s’était simplement fié à ses employés et n’avait pris aucune autre mesure. En outre, l’APD a constaté que le responsable du traitement n’avait pas révisé périodiquement l’évaluation des risques. Par conséquent, l’APD a constaté une violation de l’article 32(1) et (2) du RGPD.

Me Philippe Ehrenström, avocat, LLM