Symbole d'une main avec un index levé, ce qui signifie numéro un ou attention.
Ton loyer va augmenter? Renseigne-toi sur tes droits

Procédure d’annonce des violations de la sécurité

Les entreprises suisses doivent introduire une procédure d’annonce pour les violations de la sécurité des données. MyRight explique comment

La réponse en détail

Que faire en cas de violation des données?

Il se peut que, lors du traitement de données, la confidentialité, l’intégrité ou la disponibilité de celles-ci soient compromises, entraînant la perte, l’effacement, la modification de données ou leur divulgation ou un accès non autorisés. Assurez-vous que, dans ce cas, il existe au sein de l’entreprise une personne responsable et des processus permettant de savoir comment les informations lui parviennent. L’intégralité de l’incident doit être documenté et les documents conservés. La personne responsable peut, dans certains cas, être tenue d’annoncer immédiatement la violation de la sécurité des données au PFPDT.

 
Quand une annonce doit-elle avoir lieu?

Toute atteinte à la sécurité des données n’est pas soumise à l’obligation d’annoncer. Le principe veut que seules les violations entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée doivent être annoncées. Il faut toujours effectuer une évaluation au cas par cas. Pour ce faire, vous pouvez vous inspirer de la matrice pour l’analyse d’impact relative à la protection des données (AIPD) (lien). Il s’agit d’évaluer la gravité des conséquences possibles et la probabilité que celles-ci se produisent. 


Qui doit être informé?

  • S’il s’agit d’un cas devant obligatoirement être déclaré, il doit être porté à la connaissance du PFPDT le plus rapidement possible. La loi ne fixe aucun délai. Toutefois, l’annonce devrait avoir lieu lorsque la nature de la violation est connue, que ses conséquences sont évaluées et que l’on sait quelles mesures sont envisagées.
  • En outre, les personnes concernées doivent être informées lorsque cela est nécessaire à leur protection. Cela peut être le cas, par exemple, lorsqu’un mot de passe doit être changé. Cette obligation existe également lorsque le PFPDT l’exige.

 

Sanctions

La nouvelle LPD (nLPD) ne prévoit pas de sanctions pénales en cas de violation de l’obligation d’annoncer au PFPDT. Toutefois, la situation est différente si vous tombez dans le champ d’application du Règlement général de l’UE sur la protection des données (RGPD). Nous vous recommandons de prendre cette disposition au sérieux et de signaler rapidement d’éventuelles violations.


Autres conseils juridiques et modèles concernant la protection des données: