RGPD : Comment signaler des fuites de données ?

RGPD : Comment signaler des fuites de données ?

Depuis le 25 mai 2018, toute entreprise belge qui recueille des données de citoyens européens doit respecter le RGPD.  La nouvelle législation relative à la protection de la vie privée règle le traitement, la gestion et la conservation des données à caractère personnel.  Le RGPD oblige également ces entreprises à signaler à l'Autorité de protection des données tout incident concernant des données à caractère personnel.  Le formulaire à utiliser pour signaler des fuites de données est désormais disponible.

Le Règlement général sur la Protection des Données (RGPD) ou General Data Protection Regulation (GDPR) constitue la nouvelle législation relative à la protection de la vie privée, en vigueur depuis le 25 mai 2018.

Qu'entend-on par fuite de données ?

On entend par fuite de données toute violation de la sécurité entraînant, de manière accidentelle ou non, la destruction, la perte ou l'altération de données à caractère personnel transmises, conservées ou traitées d'une autre manière. Il y a fuite de données en cas de divulgation non autorisée de données à caractère personnel ou d'accès non autorisé à de telles données (art. 4, 12 RGPD : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données). Comme exemples courants, on peut citer : la perte ou le vol d'une clé USB contenant une copie de la base de données des clients ; le cryptage de données à caractère personnel par un rançongiciel et il n'en existe aucune copie ; lorsque le responsable du traitement a perdu la clé de cryptage des données à caractère personnel ; lorsqu'un virus efface toutes les données clients de la base de données.  Il peut être question d'une fuite de données dès qu'une personne non habilitée a accès aux données.  Il ne doit pas y avoir intention négative pour qu'il soit question d'une fuite de données.

L'obligation de signalement n'est pas absolue

Le signalement d'une fuite de données à l'Autorité de protection des données (en abrégé, APD, le nouveau nom donné à la Commission Vie privée) n'est pas toujours obligatoire.  Un signalement n'est obligatoire que lorsqu'il est probable que la violation engendre un risque pour les droits et libertés de personnes physiques.  Le cas échéant, le responsable du traitement est tenu de signaler la fuite dans les 72 heures après en avoir pris connaissance. 
Par ailleurs, l'entreprise doit signaler la violation à la personne concernée lorsque celle-ci court un risque élevé de violation de ses droits fondamentaux.

Une analyse des risques doit précéder la notification de la fuite de données.
La fuite de données peut-elle entraîner un vol d'identité, une perte financière ou un préjudice d'image pour les personnes concernées ?
Les risques de dommage matériel ou physique sont-ils réels ?  ...

En outre, il n'est certainement pas superflu de consigner dans un registre toutes les fuites de données survenant au sein de l'organisation.  Dans ce registre, le responsable du traitement des données à caractère personnel décrira en détail la fuite en indiquant les causes, les conséquences et les mesures prises.

Formulaire électronique

Les fuites de données doivent dorénavant être notifiées à l'Autorité de protection des données au moyen d'un formulaire électronique disponible sur un site portail. 

Démarches en 4 étapes :

1. Vérifiez si vous devez notifier la fuite de données à l'APD. 

2. Téléchargez le formulaire électronique si l'APD est l'autorité compétente.  Ouvrez et complétez le formulaire sur un ordinateur fixe ou portable ; il n'est pas possible de l'ouvrir sur un mobile.

3. Complétez le formulaire téléchargé par voie électronique via votre PC. Il n'est pas possible d'envoyer des formulaires complétés à la main et ensuite scannés !

4. Envoyez le formulaire rempli via le portail e-forms de l'APD. Si l'envoi s'est bien passé, vous recevrez un e-mail avec un code unique.  Cet e-mail prouve la bonne communication des coordonnées.

Lorsque la fuite de données requiert un examen complémentaire, l'organisation peut procéder à une notification provisoire. 

D'un règlement européen à une loi-cadre belge 

Le RGPD est d'application immédiate en Belgique, mais ne règle pas tout.  Le Moniteur belge du 5 septembre dernier a publié la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Les dispositions de cette loi-cadre sont presque toutes entrées immédiatement en vigueur.  La loi abaisse de 16 à 13 ans l'âge auquel les enfants peuvent eux-mêmes donner leur consentement au traitement de leurs données à caractère personnel, et introduit des mesures de protection supplémentaires pour les données génétiques, biométriques et concernant la santé.  Elle abroge par ailleurs à compter du 5 septembre 2018 la loi du 8 décembre 1992 relative à la protection de la vie privée et son principal arrêté d'exécution, l'arrêté royal du 13 février 2001.