Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié le 6 février 2025 un Guide relatif à l’annonce des violations de la sécurité des données et l’information des personnes concernées en vertu de l’art. 24 LPD (également disponible en allemand, italien et anglais). Le guide présente l’obligation du responsable du traitement d’annoncer au PFPDT les violations de la sécurité des données (art. 24 al. 1 LPD) et l’obligation du responsable du traitement d’informer les personnes concernées (art. 24 al. 4 LPD). C’est l’occasion de refaire le tour des obligations actuelles, car cela fait un moment que je n’avais plus traité de cette question (article dans la Revue suisse de droit des affaires et du marché financier en 2021, article dans la revue Expert Focus (L’Expert-comptable suisse) en 2017 et article sur ce blog en 2013 déjà).
L’annonce des violations de la sécurité des données au PFPDT
Ce que dit la loi (art. 24 al. 1 et 2 LPD, 15 al. 1 et 1 OPDo)
Le responsable du traitement doit annoncer dans les meilleurs délais au PFPDT les cas de violations de la sécurité des données entraînant vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. L’annonce doit être faite dans les meilleurs délais et indiquer au moins la nature de la violation de la sécurité des données, ses conséquences et les mesures prises ou envisagées.
Toute violation de la sécurité entraînant de manière accidentelle ou illicite la perte de données personnelles, leur modification, leur effacement ou leur destruction, leur divulgation ou un accès non autorisés à ces données est une violation de la sécurité des données au sens de la Loi fédérale sur la protection des données (LPD).
L’Ordonnance sur la protection des données (OPDo) précise que l’annonce doit contenir les informations sur la nature de la violation, les conséquences pour les personnes concernées (y compris les risques éventuels), les mesures prises ou prévues (pour remédier à cette défaillance et atténuer les conséquences, y compris les risques éventuels), ainsi que le nom et les coordonnées d’une personne de contact. Dans la mesure du possible, l’annonce soit aussi indiquer le moment et la durée, les catégories et le nombre approximatif de données personnelles concernées, ainsi que les catégories et le nombre approximatif de personnes concernées.
L’OPDo précise encore que si le responsable du traitement n’est pas en mesure de communiquer simultanément toutes les informations, il fournit les informations manquantes dans les meilleurs délais.
L’OPDo a également introduit une obligation de documenter les violations (faits relatifs aux incidents, à leurs effets et aux mesures prises) et de conserver cette documentation pendant deux ans au moins à compter de la date d’annonce.
Ce qu’ajoute le PFPDT
Le PFPDT considère que l’annonce doit lui être faite «le plus rapidement possible» et qu’une annonce doit également être faite si le responsable du traitement ne peut pas déterminer avec certitude dans ce court délai si un risque élevé est vraisemblable.
À réception de l’annonce, le PFPDT examine succinctement si les mesures d’urgence et de suivi prises ou prévues paraissent appropriées, suffisantes et opportunes. Si nécessaire, le PFPDT peut demander des précisions, prodiguer des conseils et s’assurer que l’incident est documenté.
Le PFPDT indique qu’il réceptionne également les annonces des violation de la sécurité des données qui lui sont adressées spontanément, c’est-à-dire lorsqu’il n’y a pas d’obligation (car le risque n’est pas suffisamment élevé). Si les annonces obligatoires peuvent se faire via un portail d’annonce sécurisé (databreach.edoeb.admin.ch), les annonces spontanées doivent se faire en dehors du portail.
Le PFPDT annonce un changement d’approche dans l’évaluation du risque. Il estime que les mesures d’urgence prises et dont il a été prouvé qu’elles ont exclu ou réduit les conséquences redoutées d’une potentielle atteinte à la personnalité ne doivent plus être considérées pour évaluer si le risque est élevé (ou s’il n’est pas élevé).
Le risque doit traditionnellement être évalué selon la gravité de ses conséquences et leur probabilité de réalisation. Le PFPDT présume d’un risque élevé lorsque des données sensibles, des copies de pièces d’identité ou de cartes de crédit sont concernées, ou si les données sont traitées dans un contexte de poursuite pénale ou de mesures d’aides sociales. Il n’y a en revanche généralement pas de risque élevé lorsque les données étaient déjà publiquement accessibles avant la violation. La LPD ne s’applique pas non plus si les données sont anonymes, y compris si elles sont chiffrées et que la clé de déchiffrement n’est pas compromise.
La motivation des tiers non autorisés joue aussi un rôle dans l’évaluation du risque, de même que les conséquences pour les personnes concernées. Le PFPDT retient des conséquences graves lorsqu’il faut compter qu’une violation de la sécurité des données permet des abus comme l’usurpation d’identité ou la fraude à la carte bancaire. Le nombre de personnes ou de données concernées n’est pas un critère (un grand nombre de personnes concernées ne signifie pas un risque élevé), mais le PFPDT voit néanmoins dans ces cas un intérêt privé ou public à leur information.
Le PFPDT rappelle aussi qu’il est soumis à la Loi fédérale sur le principe de la transparence dans l’administration (LTrans) et que les annonces sont des documents officiels au sens de la LTrans.
Commentaire
La LPD prévoit clairement une annonce seulement lorsque le risque élevé est vraisemblable. On ne saurait suivre l’interprétation extensive du PFPDT qui voudrait que tous les cas soient annoncés, et cela jusqu’au moment où il y a une certitude sur l’absence de risque élevé. Cela concerne aussi le délai puisque le législateur a retenu une approche raisonnable et souple en droit suisse (dans les meilleurs délais par rapport au RGPD qui fixe le délai à 72 heures) et n’a pas prévu de sanction en cas de retard. L’annonce doit être faite dans un délai court, mais le responsable du traitement doit quand même pouvoir établir les faits et évaluer sereinement le risque.
La LPD ne prévoit pas d’obligation de documentation (ni de conservation pendant deux ans), de sorte que le Conseil fédéral n’avait pas de base légale pour ajouter cette obligation dans l’OPDo.
En ce qui concerne l’évaluation du risque, on peut suivre le PFPDT dans l’exemple d’une soustraction de données avec demande de rançon. Le responsable du traitement ne peut pas attendre pendant des semaines la fin des négociations pour décider si les données pourront être ou non récupérées et évaluer ensuite son obligation d’annoncer. Il ne s’agit d’ailleurs plus de mesures d’urgence à proprement parler. En revanche, lorsque le responsable du traitement découvre une violation de la sécurité des données (par exemple une base de données non sécurisée), prend immédiatement des mesures pour éviter tout accès futur et constate avec une probabilité suffisante à l’aide de procès-verbaux de journalisation ou d’autres indices qu’il n’y a pas eu d’accès aux données, il faut bien retenir qu’il n’y a vraisemblablement pas de risque élevé et donc pas d’obligation d’annonce.
Il est juste d’évaluer le risque par rapport à la personne concernée, et ce n’est pas parce que beaucoup d’autres personnes sont concernées également (au contraire peut-être) que le risque est plus important pour chaque personne prise individuellement. Il est toutefois difficile de suivre le PFPDT et de considérer que parce que beaucoup de personnes sont touchées (sans risques élevés ni qu’elles puissent prendre des mesures pour leur protection), il se justifie d’annoncer la violation au PFPDT ou d’informer les personnes concernées. Cela ressemblerait plus à une sorte de sanction (name and shame) que la LPD ne connaît pas. Quant au risque d’usurpation d’identité, il peut reposer sur presque n’importe quelle donnée personnelle et doit être évalué non seulement en fonction du risque d’avoir une usurpation d’identité, mais surtout des risques que créent cette usurpation.
L’information des violations de la sécurité des données aux personnes concernées
Ce que dit la loi (art. 24 al. 4 et 5 LPD, 15 al. 3 OPDo)
Le responsable du traitement doit informer la personne concernée lorsque cela est nécessaire à sa protection ou lorsque le PFPDT l’exige. Il peut néanmoins restreindre l’information de la personne concernée, la différer ou y renoncer, si les intérêts prépondérants d’un tiers l’exigent, si un devoir légal de garder le secret l’interdit, si l’information est impossible à fournir ou exige des efforts disproportionnés ou si l’information de la personne concernée peut être garantie de manière équivalente par une communication publique. Pour les organes fédéraux, il est encore possible de restreindre, différer ou renoncer l’information si un intérêt public prépondérant l’exige (en particulier la sûreté intérieure ou extérieure de la Suisse) ou si la communication des informations est susceptible de compromettre une enquête, une instruction ou une procédure judiciaire ou administrative.
L’information à la personne concernée doit être rédigée dans un langage simple et compréhensible. Elle doit contenir les mêmes informations que l’annonce au PFPDT, à l’exception des mesures prises ou prévues pour remédier à cette défaillance et atténuer les conséquences et les risques éventuels (dont la communication est réservée au PFPDT).
Ce qu’ajoute le PFPDT
L’obligation d’informer les personnes concernées est indépendante du caractère élevé du risque, mais dépend seulement de savoir si cela est nécessaire à leur protection. S’il est plausible que les personnes concernées ont, sans information complémentaire du responsable du traitement, déjà été suffisamment informées d’une violation de la sécurité des données et de ses conséquences et savent quelles mesures elles peuvent prendre, le PFPDT considère que l’obligation d’informer peut être considérée comme déjà respectée.
Le PFPDT retient en particulier un besoin de protection lorsqu’il faut modifier un mot de passe, bloquer une carte de crédit, ou si des messages ou demandes doivent faire l’objet d’un regard critique.
S’agissant des cas où le PFPDT peut ordonner une information, il s’agit évidemment de ceux prévus par l’art. 24 LPD mais qui seraient ignorés par le responsable du traitement. Le PFPDT y voit également la possibilité de l’ordonner sur la base d’un intérêt public (grand nombre de personnes concernées ou couverture médiatique). Le PFPDT construit cette compétence sur son droit d’informer le public de ses constatations et de ses décisions lorsqu’il en va de l’intérêt général (art. 57 al. 2 LPD).
Commentaire
Le PFPDT peut rappeler un responsable du traitement à ses devoirs, mais il est douteux qu’il puisse l’obliger à informer les personnes concernées parce qu’un grand nombre de personnes est concerné ou que les médias en parlent, si les conditions de l’art. 24 LPD ne sont pas remplies. Ce sera souvent aussi dans l’intérêt du responsable du traitement, mais ce n’est pas une obligation. Les compétences d’information du public sur ses constats et décisions ne permettent pas d’imposer une information au responsable du traitement. Quant à l’information directe par le PFPDT, c’est un équilibre délicat entre rendre service au public et respecter l’anonymat des responsables du traitement, le secret d’affaires et le secret de fonction.
Le sous-traitant
Ce que dit la loi (art. 24 al. 3 LPD)
La LPD prévoit que le sous-traitant doit annoncer dans les meilleurs délais au responsable du traitement tout cas de violations de la sécurité des données. Il n’y a pas d’exigence d’un risque particulier. De plus, en vertu du contrat qui le lie au responsable du traitement, le sous-traitant doit l’aider à respecter la LPD et lui permettre de remplir ses obligations.
Commentaire
Le guide du PFPDT ne s’intéresse pas aux sous-traitants. Il aurait pourtant été utile de rappeler l’obligation très large du sous-traitant d’informer le responsable du traitement. Cette obligation exclut aussi toute communication directe du sous-traitant (sauf instruction spécifique du responsable du traitement), qu’il s’agisse d’une annonce au PFPDT ou d’une information aux personnes concernées. C’est bien le responsable du traitement qui décide seul d’annoncer et d’informer, et le sous-traitant est lié par des obligations de confidentialité.