Violation de la sécurité de données bancaires: informer les clients?

Publié le 14 novembre 2024 par Me Philippe Ehrenström

Selon l’art. 34 (1) RGPD (Communication à la personne concernée d’une violation de données à caractère personnel), lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais. La « violation de données à caractère personnel » est une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données (art. 4 ch. 12 RGPD).

La communication à la personne concernée n’est pas nécessaire si l’une ou l’autre des conditions suivantes est remplie si, notamment, elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace (art. 34 (3) (c) RGPD.

Le responsable du traitement devrait donc communiquer une violation de données à caractère personnel à la personne concernée dans les meilleurs délais lorsque cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne physique afin qu’elle puisse prendre les précautions qui s’imposent. La communication devrait décrire la nature de la violation des données à caractère personnel et formuler des recommandations à la personne physique concernée pour atténuer les effets négatifs potentiels. Il convient que de telles communications aux personnes concernées soient effectuées aussi rapidement qu’il est raisonnablement possible et en coopération étroite avec l’autorité de contrôle, dans le respect des directives données par celle-ci ou par d’autres autorités compétentes, telles que les autorités répressives. Par exemple, la nécessité d’atténuer un risque immédiat de dommage pourrait justifier d’adresser rapidement une communication aux personnes concernées, alors que la nécessité de mettre en œuvre des mesures appropriées empêchant la poursuite de la violation des données à caractère personnel ou la survenance de violations similaires peut justifier un délai plus long pour la communication. (RGPD, consid. 86)

Dans un cas traité par l’autorité italienne de protection des données (APD ; Garante per la protezione dei dati personali – décision 10070521 du 02.11.2024, présentée, traduite et résumée sur gdprhub : https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_%28Italy%29_-_10070521&mtc=today), le responsable de traitement, la banque Intesa Sanpaolo, a remarqué qu’un employé avait accédé aux données concernant la situation financière de 9 personnes concernées, même si ces personnes concernées n’étaient pas clientes de la succursale où cet employé travaillait.

L’employé a déclaré avoir accédé aux données par curiosité. Après un audit interne, le responsable du traitement a mis fin à la relation de travail.

Le 17 juillet 2024, le responsable de traitement a notifié la violation de données à l’APD conformément à l’article 33 du RGPD.

Toutefois, le responsable du traitement a estimé que la violation de données n’était pas susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques concernée. Par conséquent, il n’a pas notifié la violation aux personnes concernées conformément à l’article 34(1) du RGPD, et s’est contenté de faire parvenir une communication informelle aux personnes concernées.

Le 10 octobre 2024, l’APD a appris que, selon certains journaux, le même employé avait effectué 6 000 autres accès aux coordonnées bancaires de plus de 3 500 personnes concernées, dont la sœur et l’ex-partenaire du président du Conseil des ministres, certains ministres, le président du Sénat et le chef du parquet national antimafia.

En ce qui concerne ces faits nouveaux, le responsable de traitement a estimé que la violation de données n’était pas susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques. Le responsable du traitement a toutefois déclaré qu’il pourrait envoyer une lettre de « prise en charge client » pour expliquer ce qui s’était passé.

Même si l’enquête sur cette affaire est toujours ouverte, l’APD a jugé nécessaire d’intervenir immédiatement quant au respect de l’art. 34 RGPD.

Contrairement à ce que prétendait le responsable de traitement, l’APD a estimé que la violation de données en question était bien susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, et ce pour les raisons suivantes :

  • le type de données personnelles concernées ;
  • les faits pouvaient être qualifiés de délit au sens de l’article 615-ter du Code pénal italien ; et
  • le responsable du traitement opère dans le secteur bancaire, un secteur d’activité dans lequel les employés sont tenus à un niveau de confidentialité très élevé.

En ce qui concerne l’article 34(3)(c)  RGPD, l’APD a souligné que le responsable du traitement dispose certainement des coordonnées des personnes concernées, puisque ces dernières sont ses clients. Par conséquent, il n’est pas possible d’affirmer que le fait de les contacter impliquerait un effort disproportionné.

En outre, l’APD a noté que les lignes directrices 9/2022 du CEPD sur la notification des violations de données à caractère personnel dans le cadre du RGPD stipulent que les violations de données impliquant des données financières sont susceptibles de causer des dommages plus importants, car si elles sont combinées à d’autres données elles peuvent également conduire à un vol d’identité (par. 108).

Enfin, l’APD a déclaré que, en ce qui concerne la lettre de « prise en charge du client », celle-ci a un contenu et un objectif différents de la notification prévue par l’ art. 34 RGPD.

Sur la base de ces motifs, conformément à l’article 34(4) du RGPD en combinaison avec l’article 58(2)(e) du RGPD , l’APD a ordonné au responsable du traitement d’informer les personnes concernées de la violation de données sans retard injustifié et, dans tous les cas, dans un délai de 20 jours.

[Sur le devoir d’informer, on lira aussi la thèse de Célian Hirsch, Le devoir d’informer lors d’une violation de la sécurité des données. Avec un regard particulier sur les données bancaires, 2023, accessible en open access ici: https://archive-ouverte.unige.ch/unige:172813]

Me Philippe Ehrenström, avocat, LLM

Avatar de Inconnu

About Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M., Yverdon-les-Bains
Cet article, publié dans Protection des données, RGPD, est tagué , , , , , . Ajoutez ce permalien à vos favoris.

Laisser un commentaire