nLPD : Article 7
A partir du 1er septembre, les cas de violations de la sécurité des données entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée doivent être annoncés dans les meilleurs délais au préposé fédéral.
Et donc, que doit-on mettre en place ?
L’annonce des incidents fait partie d’un environnement plus large, que nous pouvons modéliser grâce à la roue de Deming (ou Plan, Do, Check, Act) :
Prévoir – A quel risque notre organisation est-elle soumise ? Comment les cas de violation sont-ils identifiés ? Comment l’organisation se prépare-t-elle à une faille de sécurité ? La politique de sécurité des données personnelles est mise en œuvre ;
Faire – Ce sont les moyens et techniques mis en œuvre, objet de notre article précédent nLPD – Article 6 – Procédures et moyens de sécurité. La protection est mise en œuvre ;
Réagir – L’incident est survenu. Il s’agit d’abord de protéger les données personnelles impactées contre ses conséquences, de collecter les informations sur la perte de données et, en même temps, de commencer à renseigner l’incident. L’incident est réparé, l’organisation est remise en ordre de marche ;
Améliorer – “fool me once, shame on you; fool me twice, shame on me”, ou faire en sorte de prendre les mesures protectives et correctives pour une amélioration continue. Le bouclier est renforcé.
L’annonce doit indiquer au moins la nature de la violation de la sécurité des données, ses conséquences et les mesures prises ou envisagées.
Plus qu’une simple déclaration, il s’agit in fine d’une analyse de l’incident, de ses implications et de sa remédiation.
Le site du préposé pour la déclaration est en place, vous pouvez déjà commencer vos déclarations. Elles restent facultatives jusqu’au 1er septembre, à moins que les fuites ne concernent les « acquis de Schengen », loi qui disparaîtra le 31 août[1].
Pour faciliter la procédure, il est possible de déclarer un incident, d’obtenir un identifiant, et ensuite de mettre à jour le rapport au fur et à mesure de la progression de l’incident.
Notifiez au plus vite, renseignez au fur et à mesure.
C’est un peu comme les articles de presse sur la compromission de l’armée et de nombreuses polices suite à l’attaque contre Xplain. Selon l’article original du Temps du 2 juin 2023, dont les évolutions et les multiples conséquences ont fait les choux gras de la presse et dont le préposé s’est emparé pour enquêter.
L’exemple de Xplain et de ses clients nous éclaire sur les ramifications de la déclaration.
Si vous étiez soupçonné d’hooliganisme en 2015, vos données personnelles ont peut-être été publiée sur le Darknet à la suite de cette attaque.
La Police Fédérale aura essayé de vous contacter en tant que personne concernée victime de la faille de données qui est informée lorsque cela est nécessaire à sa protection ou lorsque le préposé l’exige. Sinon, vous pouvez faire une demande sur la page de FedPol dédiée à la sécurité des données personnelles des hooligans présumés.
Ayant déjà subi la fin du secret bancaire sous la pression des Etats-Unis, voici que les Européens nous imposent de mettre en place publique nos failles de données importantes. Ça va l’chalet ?
D’abord, pourquoi déclarer ? Ce n’est pas un hasard si le législateur, dans son infinie sagesse, a supprimé l’amende pénale d’un maximum de CHF 500’000 en cas d’omission d’annonce qui était présente à l’article 50 de l’avant-projet. Ou bien ?
La violation de l’obligation d’annoncer n’entraîne plus maintenant aucune sanction pénale, ce qui n’est peut-être pas une lacune du législateur, mais bien une conséquence du droit de ne pas s’auto-incriminer
Allons vivre en Théorie. Là-bas tout se passe bien.
Ouais… sauf qu’il y a vraiment le feu au lac. Les attaques informatiques se multiplient et les moyens de défense s’intensifient.
On peut raisonnablement penser que l’arsenal des obligations s’étoffera, par exemple que l’obligation de signalement prévue par la future loi sur la sécurité informatique actuellement en consultation pourra s’étendre aux infrastructures non critiques.
Après Xplain, la Confédération réclame désormais plus de sécurité à ses fournisseurs. L’entreprise Xplain avait d’ailleurs annoncé le cyber incident au Centre national pour la cybersécurité (NCSC) conformément à la loi puisqu’il touche des infrastructures sensibles.
La nouvelle circulaire FINMA réclame elle aussi de gérer et remonter les incidents.
Le signalement des incidents de sécurité, quand il n’est pas une obligation légale fait désormais partie a minima des bonnes pratiques et, dans le cas de la police fédérale, en appelle au principe de transparence et de respect des administrés. Même si FedPol n’est que la victime par ricochet dans l’affaire Xplain, c’est bien FedPol qui informe le PFPDT en application du principe de transparence.
L’écosystème s’enrichit lui aussi, vous n’êtes pas nécessairement la victime directe de la faille de données, mais de plus en plus l’un de vos partenaires direct ou indirect.
Et d’après la loi, le sous-traitant annonce dans les meilleurs délais au responsable du traitement tout cas de violation de la sécurité des données.
Mais c’est néanmoins le responsable du traitement, et non pas le sous-traitant, qui doit annoncer la faille au préposé, ce qu’a entrepris la police fédérale.
Même si l’annonce ne peut être utilisée au pénal sans le consentement du responsable des traitements, le préjudice n’est pas absout, les conséquences juridiques de la compromission n’en restent pas moins importantes.
Dans le cas de Xplain, le ministère public de la Confédération et le PFPDT ont ouvert une enquête contre les offices fédéraux de la police ainsi que des douanes et de la sécurité des frontières en raison d’indices de violations potentiellement graves des dispositions sur la protection des données.
En fin de compte, c’est au responsable des traitements qu’il appartient de décider l’annonce de la violation de sécurité. Ou pas.
Compte tenu d’une part de l’obligation de cette annonce et, d’autre part, de l’immunité pénale de la déclaration, le bénéfice à protéger la personnalité et les droits fondamentaux des personnes qui nous ont fait confiance – nos employés, nos clients, nos fournisseurs, nos administrés – constitue un intérêt prépondérant.
La faille sera probablement découverte tôt ou tard et la vindicte populaire sera mesurée à l’aune de l’opacité de la communication : le risque réputationnel augmente avec le silence. L’adage populaire veut que « si l’entreprise avait signalé le problème plus tôt, une autre attaque aurait pu être évitée, les mots de passe compromis auraient été changés ou la faille de sécurité exploitée, patchée sur d’autres systèmes ».
Le site de déclaration databreach du préposé fédéral est déjà prêt pour le 1er septembre. Et vous ?
Nous espérons que cette série d’articles aura contribué à lever le voile sur certains aspects de la nouvelle loi.
Ensemble, continuons le dialogue.
Cet été, profitez de la crème écran total contre le soleil et de la crème de la crème de la protection de vos données avec les Advisors d’Abilene.
Bonnes vacances !
[1] NDLA: vivement le 1er septembre, j’arrive au bout de mon stock d’alka-seltzer