Violation de la sécurité des données (data breach) en suisse
Une violation de la sécurité des données survient lorsque des données personnelles sont perdues, volées ou rendues accessibles de manière illicite.
Définition et explication
En droit suisse, une violation de la sécurité des données (souvent appelée data breach) désigne tout incident de sécurité entraînant la perte, l’effacement, la modification ou la divulgation non autorisée de données personnelles. Depuis l’entrée en vigueur de la nouvelle Loi sur la protection des données (LPD), ce concept occupe une place centrale pour la responsabilité des entreprises, associations et particuliers.
Selon l’article 24 de la LPD, le responsable du traitement a l’obligation d’annoncer l’incident au Préposé fédéral à la protection des données et à la transparence (PFPDT) dans les meilleurs délais si la violation entraîne un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées. Parallèlement, Vous devez également informer directement les personnes touchées si cela s’avère nécessaire pour leur protection personnelle.
Quand cela s'applique-t-il ?
- Lorsqu’un appareil contenant des données sensibles est perdu ou volé.
- En cas de cyberattaque, par exemple un rançongiciel (ransomware) bloquant l’accès aux serveurs de l’entreprise.
- Si un courriel contenant des informations confidentielles est envoyé par erreur au mauvais destinataire.
- Lorsqu’un employé supprime malveillamment ou accidentellement une base de données essentielle sans sauvegarde.
Exemple d'une fuite de données médicales en Suisse
Une clinique privée suisse se fait voler un ordinateur portable non crypté dans la voiture de l’un de ses médecins. Cet ordinateur contient les dossiers médicaux complets de plusieurs centaines de patients. Le voleur a ainsi potentiellement accès à des données particulièrement sensibles concernant la santé physique et le dossier médical de ces personnes.
À retenir
Face à ce risque élevé pour la personnalité des patients, la clinique doit agir sans délai. Conformément à l’article 24 de la LPD, elle a l’obligation de notifier cette violation de la sécurité des données au PFPDT de manière rapide. Par ailleurs, puisqu’il s’agit de données médicales sensibles, la clinique doit également informer chaque patient concerné personnellement, afin qu’ils puissent prendre des mesures de précaution contre une éventuelle usurpation d’identité ou un chantage.
Besoin d'aide sur ce sujet ?
Décrivez votre situation en 2 minutes et recevez une réponse personnalisée d'un expert juridique suisse.
Questions fréquentes
Sources
- Loi fédérale sur la protection des données (LPD) art. 8 et art. 24, Ordonnance sur la protection des données (OPDo) art. 15