Le respon­sable du trai­te­ment qui est raison­na­ble­ment certain qu’une viola­tion de données a eu lieu doit annon­cer la viola­tion à l’autorité compé­tente dans un délai de 72 heures. Il ne peut pas procé­der à des inves­ti­ga­tions internes avant d’effectuer l’annonce.

Autoriteit Persoonsgegevens, Booking​.com, 10.12.2020

EUR 475’000.- d’amende pour 22 jours de retard, soit EUR 21’590.- par jour. C’est le montant dont a dû s’acquitter Booking auprès de l’Autoriteit Persoonsgegevens (l’autorité néer­lan­daise de protec­tion des données) pour n’avoir pas annoncé une fuite de données dans de meilleurs délais (art. 33 par. 1 RGPD).

Le lecteur pour­rait ne pas s’offusquer. Après tout, 22 jours de retard, c’est un laps de temps impor­tant pour une fuite de données, laquelle doit être annon­cée en prin­cipe dans les 72 heures. Cela étant, la durée effec­tive du « retard » n’est pas aussi limpide. En effet, le dies a quo du délai d’annonce de la fuite est sujet à inter­pré­ta­tion, en parti­cu­lier lorsque la fuite des données n’est pas évidente, ce que nous verrons ci-dessous.

Booking propose une plate­forme de réser­va­tion d’hébergements en ligne. Ses pres­ta­taires – prin­ci­pa­le­ment des hôtels – béné­fi­cient d’un accès à l’extranet de Booking afin de pouvoir consul­ter les détails des réser­va­tions effec­tuées par les clients. L’accès à cet extra­net est sécu­risé par une authen­ti­fi­ca­tion à double facteur.

Booking dispose d’une direc­tive interne qui prévoit que tout inci­dent de sécu­rité doit immé­dia­te­ment être commu­ni­qué à la Security Team, notam­ment s’il est noti­fié par un pres­ta­taire tiers.

Le 9 janvier 2019, un hôtel parte­naire de Booking informe la plate­forme qu’un client s’est plaint du fait qu’un tiers, préten­dant travailler pour l’hôtel, l’aurait contacté afin d’obtenir ses données de carte de crédit.

Le 13 janvier 2019, le même hôtel informe Booking qu’il a reçu une plainte semblable d’un autre client. L’objet du cour­riel précise « [External Fraud] /​ Leaked Guest Information » et il débute par « URGENT ».

Le 20 janvier 2019, le même hôtel informe Booking d’une troi­sième plainte. Le même jour, un autre hôtel prévient la plate­forme d’un problème semble, avec comme objet « SECURITY BREACH ».

Le 31 janvier 2019, la Security Team de Booking est infor­mée de l’incident.

Le 4 février 2019, l’équipe de sécu­rité termine son inves­ti­ga­tion initiale et informe la Privacy Team. Elle informe égale­ment toutes les personnes concer­nées par la fuite.

Le 7 février 2019, la Privacy Team de Booking noti­fie l’incident à l’autorité néer­lan­daise de protec­tion des données.

L’autorité doit ainsi déter­mi­ner le dies a quo du délai pour annon­cer la fuite des données.

Selon l’art. 33 par. 1 RGPD, le respon­sable du trai­te­ment doit noti­fier la viola­tion de données à l’au­to­rité de contrôle compé­tente « 72 heures au plus tard après en avoir pris connais­sance ». Le délai commence ainsi à courir avec la prise de connais­sance. Mais que signi­fie « prendre connais­sance » de la fuite des données (having become aware of it ; die Verletzung bekannt wurde) ?

Selon le G29, « un respon­sable du trai­te­ment devrait être consi­déré comme ayant pris ‹ connais­sance › lorsqu’il est raison­na­ble­ment certain qu’un inci­dent de sécu­rité s’est produit et que cet inci­dent a compro­mis des données à carac­tère person­nel » (G29, Lignes direc­trices sur la noti­fi­ca­tion de viola­tions de données à carac­tère person­nel en vertu du règle­ment (UE) 2016/​679, 6 février 2018, p. 11).

En l’espèce, l’autorité consi­dère que le cour­riel du 13 janvier 2019 (soit le deuxième rela­tif à l’incident) aurait dû permettre à Booking d’arriver à la conclu­sion qu’un inci­dent de sécu­rité s’était produit. En parti­cu­lier, l’hôtel expé­di­teur du cour­riel était déjà arrivé à cette conclu­sion. Cela ressor­tait par ailleurs de manière évidente de l’objet du cour­riel (« [External Fraud] /​ Leaked Guest Information »). La Security Team de Booking aurait ainsi dû être immé­dia­te­ment infor­mée de cet inci­dent le 13 janvier, confor­mé­ment à la direc­tive interne. Au surplus, le cour­riel du 20 janvier 2019 était égale­ment clair quant à la surve­nance d’une fuite des données. Cela étant, ce n’est que le 31 janvier que l’équipe de sécu­rité a fina­le­ment été infor­mée de la fuite des données.

Au vu de ces éléments, l’autorité néer­lan­daise consi­dère que Booking est répu­tée avoir pris connais­sance de la viola­tion de données lors de la récep­tion du cour­riel du 13 janvier 2019. À cette date, la société dispo­sait de suffi­sam­ment d’éléments lui permet­tant d’être raison­na­ble­ment certaine qu’un inci­dent de sécu­rité s’était produit et que cet inci­dent avait compro­mis des données personnelles.

Pour sa défense, Booking invoque notam­ment que la fuite ne trouve pas son origine auprès de sa propre infra­struc­ture. Cela étant, l’autorité consi­dère que la plate­forme de réser­va­tion en ligne est bel et bien respon­sable du trai­te­ment de l’extranet. Dès lors que la viola­tion de données a eu lieu à partir de l’extranet, Booking est respon­sable d’annoncer auprès de l’autorité compé­tente la fuite des données.

Par ailleurs, le fait que Booking se soit engagé à dédom­ma­ger toutes les personnes victimes de la fuite des données ne change rien à son devoir d’annoncer. En effet, celui-ci est toujours dû par le respon­sable du trai­te­ment, sauf si la viola­tion n’est pas suscep­tible d’en­gen­drer un risque pour les droits et liber­tés des personnes concer­nées (art. 33 par. 1 RGPD). Or, en l’espèce, le risque s’est déjà concré­tisé puisqu’un tiers a eu accès de manière non auto­ri­sée à des données personnelles.

En outre, Booking prétend qu’il était justi­fié de prendre le temps afin de prépa­rer une seule noti­fi­ca­tion concer­nant les divers cour­riels reçus, ce qu’a fait sa Privacy Team, plutôt que de noti­fier sépa­ré­ment chaque viola­tion. Enfin, selon la société néer­lan­daise, il serait dérai­son­nable et irréa­liste d’un point de vue de la charge admi­nis­tra­tive et finan­cière d’exiger du respon­sable du trai­te­ment qu’il inves­tigue chaque poten­tiel inci­dent de sécu­rité afin de pouvoir annon­cer l’éventuelle viola­tion de données dans les 72 heures.

L’autorité néer­lan­daise admet qu’une enquête, afin de déter­mi­ner l’étendue de la fuite, peut prendre plus que 72 heures. Cela étant, un tel examen préli­mi­naire n’est pas néces­saire lorsque le respon­sable du trai­te­ment est déjà raison­na­ble­ment certain qu’un inci­dent de sécu­rité s’est produit et que celui-ci a compro­mis des données à carac­tère person­nel. Or tel était le cas en l’espèce, lors de la récep­tion du deuxième cour­riel. Les inves­ti­ga­tions subsé­quentes ne permet­taient ainsi pas de justi­fier une annonce tardive.

Concernant la charge admi­nis­tra­tive et finan­cière, l’art. 32 RGPD impose au respon­sable du trai­te­ment de mettre en œuvre les mesures tech­niques et orga­ni­sa­tion­nelles appro­priées afin de garan­tir un niveau de sécu­rité adapté au risque. Le consi­dé­rant 87 précise que le respon­sable du trai­te­ment doit en parti­cu­lier adap­ter de telles mesures afin de pouvoir établir immé­dia­te­ment si une viola­tion de données s’est produite. En l’espèce, Booking a préci­sé­ment adopté une direc­tive interne et une direc­tive nommée « Data Incident Response Policy » afin que l’équipe de sécu­rité soit infor­mée des éven­tuels inci­dents. Le fait que cette démarche n’ait pas été respec­tée en l’espèce ne peut être imputé qu’à l’entreprise elle-même.

Partant, l’autorité constate la viola­tion de l’art. 33 par. 1 RGPD et fixe l’amende à EUR 475’000.-, après une analyse de l’application de l’art. 83 RGPD (condi­tions géné­rales pour impo­ser des amendes administratives).

Cette déci­sion n’est pas unique en son genre. En effet, les auto­ri­tés irlan­daise et espa­gnole ont égale­ment sanc­tionné, dans deux cas distincts, un respon­sable du trai­te­ment pour avoir annoncé tardi­ve­ment une fuite des données (DPC – Inquiry into University College Dublin (IN-19–7‑4) ; AEPD – PS/​00179/​2020).

Dans le futur droit suisse, l’annonce d’une viola­tion de la sécu­rité des données devra être effec­tuée « dans les meilleurs délais » (art. 24 al. 1 nLPD). Contrairement au droit euro­péen, le texte de la loi ne précise pas le point de départ du délai. À notre avis, en raison de l’adoption de cette dispo­si­tion pour s’aligner sur le droit euro­péen, il convient de consi­dé­rer que le délai commence égale­ment à courir lorsque le respon­sable du trai­te­ment est raison­na­ble­ment certain qu’un inci­dent de sécu­rité s’est produit et que cet inci­dent a compro­mis des données personnelles.

Cela étant, vu que le délai est plus étendu qu’en droit euro­péen – il n’y a pas de réfé­rence aux 72 heures – et que sa viola­tion n’engendre ni de consé­quence pénale ni une amende admi­nis­tra­tive, la ques­tion du début du délai en droit suisse déploie moins de consé­quences pratiques qu’en droit européen.