swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Une annonce (très) rapide d’une fuite de données ou une amende salée

Célian Hirsch, le 22 novembre 2021
Le respon­sable du trai­te­ment qui est raison­na­ble­ment certain qu’une viola­tion de données a eu lieu doit annon­cer la viola­tion à l’autorité compé­tente dans un délai de 72 heures. Il ne peut pas procé­der à des inves­ti­ga­tions internes avant d’effectuer l’annonce.

Autoriteit Persoonsgegevens, Booking​.com, 10.12.2020

EUR 475’000.- d’amende pour 22 jours de retard, soit EUR 21’590.- par jour. C’est le montant dont a dû s’acquitter Booking auprès de l’Autoriteit Persoonsgegevens (l’autorité néer­lan­daise de protec­tion des données) pour n’avoir pas annoncé une fuite de données dans de meilleurs délais (art. 33 par. 1 RGPD).

Le lecteur pour­rait ne pas s’offusquer. Après tout, 22 jours de retard, c’est un laps de temps impor­tant pour une fuite de données, laquelle doit être annon­cée en prin­cipe dans les 72 heures. Cela étant, la durée effec­tive du « retard » n’est pas aussi limpide. En effet, le dies a quo du délai d’annonce de la fuite est sujet à inter­pré­ta­tion, en parti­cu­lier lorsque la fuite des données n’est pas évidente, ce que nous verrons ci-dessous.

Booking propose une plate­forme de réser­va­tion d’hébergements en ligne. Ses pres­ta­taires – prin­ci­pa­le­ment des hôtels – béné­fi­cient d’un accès à l’extranet de Booking afin de pouvoir consul­ter les détails des réser­va­tions effec­tuées par les clients. L’accès à cet extra­net est sécu­risé par une authen­ti­fi­ca­tion à double facteur.

Booking dispose d’une direc­tive interne qui prévoit que tout inci­dent de sécu­rité doit immé­dia­te­ment être commu­ni­qué à la Security Team, notam­ment s’il est noti­fié par un pres­ta­taire tiers.

Le 9 janvier 2019, un hôtel parte­naire de Booking informe la plate­forme qu’un client s’est plaint du fait qu’un tiers, préten­dant travailler pour l’hôtel, l’aurait contacté afin d’obtenir ses données de carte de crédit.

Le 13 janvier 2019, le même hôtel informe Booking qu’il a reçu une plainte semblable d’un autre client. L’objet du cour­riel précise « [External Fraud] /​ Leaked Guest Information » et il débute par « URGENT ».

Le 20 janvier 2019, le même hôtel informe Booking d’une troi­sième plainte. Le même jour, un autre hôtel prévient la plate­forme d’un problème semble, avec comme objet « SECURITY BREACH ».

Le 31 janvier 2019, la Security Team de Booking est infor­mée de l’incident.

Le 4 février 2019, l’équipe de sécu­rité termine son inves­ti­ga­tion initiale et informe la Privacy Team. Elle informe égale­ment toutes les personnes concer­nées par la fuite.

Le 7 février 2019, la Privacy Team de Booking noti­fie l’incident à l’autorité néer­lan­daise de protec­tion des données.

L’autorité doit ainsi déter­mi­ner le dies a quo du délai pour annon­cer la fuite des données.

Selon l’art. 33 par. 1 RGPD, le respon­sable du trai­te­ment doit noti­fier la viola­tion de données à l’au­to­rité de contrôle compé­tente « 72 heures au plus tard après en avoir pris connais­sance ». Le délai commence ainsi à courir avec la prise de connais­sance. Mais que signi­fie « prendre connais­sance » de la fuite des données (having become aware of it ; die Verletzung bekannt wurde) ?

Selon le G29, « un respon­sable du trai­te­ment devrait être consi­déré comme ayant pris ‹ connais­sance › lorsqu’il est raison­na­ble­ment certain qu’un inci­dent de sécu­rité s’est produit et que cet inci­dent a compro­mis des données à carac­tère person­nel » (G29, Lignes direc­trices sur la noti­fi­ca­tion de viola­tions de données à carac­tère person­nel en vertu du règle­ment (UE) 2016/​679, 6 février 2018, p. 11).

En l’espèce, l’autorité consi­dère que le cour­riel du 13 janvier 2019 (soit le deuxième rela­tif à l’incident) aurait dû permettre à Booking d’arriver à la conclu­sion qu’un inci­dent de sécu­rité s’était produit. En parti­cu­lier, l’hôtel expé­di­teur du cour­riel était déjà arrivé à cette conclu­sion. Cela ressor­tait par ailleurs de manière évidente de l’objet du cour­riel (« [External Fraud] /​ Leaked Guest Information »). La Security Team de Booking aurait ainsi dû être immé­dia­te­ment infor­mée de cet inci­dent le 13 janvier, confor­mé­ment à la direc­tive interne. Au surplus, le cour­riel du 20 janvier 2019 était égale­ment clair quant à la surve­nance d’une fuite des données. Cela étant, ce n’est que le 31 janvier que l’équipe de sécu­rité a fina­le­ment été infor­mée de la fuite des données.

Au vu de ces éléments, l’autorité néer­lan­daise consi­dère que Booking est répu­tée avoir pris connais­sance de la viola­tion de données lors de la récep­tion du cour­riel du 13 janvier 2019. À cette date, la société dispo­sait de suffi­sam­ment d’éléments lui permet­tant d’être raison­na­ble­ment certaine qu’un inci­dent de sécu­rité s’était produit et que cet inci­dent avait compro­mis des données personnelles.

Pour sa défense, Booking invoque notam­ment que la fuite ne trouve pas son origine auprès de sa propre infra­struc­ture. Cela étant, l’autorité consi­dère que la plate­forme de réser­va­tion en ligne est bel et bien respon­sable du trai­te­ment de l’extranet. Dès lors que la viola­tion de données a eu lieu à partir de l’extranet, Booking est respon­sable d’annoncer auprès de l’autorité compé­tente la fuite des données.

Par ailleurs, le fait que Booking se soit engagé à dédom­ma­ger toutes les personnes victimes de la fuite des données ne change rien à son devoir d’annoncer. En effet, celui-ci est toujours dû par le respon­sable du trai­te­ment, sauf si la viola­tion n’est pas suscep­tible d’en­gen­drer un risque pour les droits et liber­tés des personnes concer­nées (art. 33 par. 1 RGPD). Or, en l’espèce, le risque s’est déjà concré­tisé puisqu’un tiers a eu accès de manière non auto­ri­sée à des données personnelles.

En outre, Booking prétend qu’il était justi­fié de prendre le temps afin de prépa­rer une seule noti­fi­ca­tion concer­nant les divers cour­riels reçus, ce qu’a fait sa Privacy Team, plutôt que de noti­fier sépa­ré­ment chaque viola­tion. Enfin, selon la société néer­lan­daise, il serait dérai­son­nable et irréa­liste d’un point de vue de la charge admi­nis­tra­tive et finan­cière d’exiger du respon­sable du trai­te­ment qu’il inves­tigue chaque poten­tiel inci­dent de sécu­rité afin de pouvoir annon­cer l’éventuelle viola­tion de données dans les 72 heures.

L’autorité néer­lan­daise admet qu’une enquête, afin de déter­mi­ner l’étendue de la fuite, peut prendre plus que 72 heures. Cela étant, un tel examen préli­mi­naire n’est pas néces­saire lorsque le respon­sable du trai­te­ment est déjà raison­na­ble­ment certain qu’un inci­dent de sécu­rité s’est produit et que celui-ci a compro­mis des données à carac­tère person­nel. Or tel était le cas en l’espèce, lors de la récep­tion du deuxième cour­riel. Les inves­ti­ga­tions subsé­quentes ne permet­taient ainsi pas de justi­fier une annonce tardive.

Concernant la charge admi­nis­tra­tive et finan­cière, l’art. 32 RGPD impose au respon­sable du trai­te­ment de mettre en œuvre les mesures tech­niques et orga­ni­sa­tion­nelles appro­priées afin de garan­tir un niveau de sécu­rité adapté au risque. Le consi­dé­rant 87 précise que le respon­sable du trai­te­ment doit en parti­cu­lier adap­ter de telles mesures afin de pouvoir établir immé­dia­te­ment si une viola­tion de données s’est produite. En l’espèce, Booking a préci­sé­ment adopté une direc­tive interne et une direc­tive nommée « Data Incident Response Policy » afin que l’équipe de sécu­rité soit infor­mée des éven­tuels inci­dents. Le fait que cette démarche n’ait pas été respec­tée en l’espèce ne peut être imputé qu’à l’entreprise elle-même.

Partant, l’autorité constate la viola­tion de l’art. 33 par. 1 RGPD et fixe l’amende à EUR 475’000.-, après une analyse de l’application de l’art. 83 RGPD (condi­tions géné­rales pour impo­ser des amendes administratives).

Cette déci­sion n’est pas unique en son genre. En effet, les auto­ri­tés irlan­daise et espa­gnole ont égale­ment sanc­tionné, dans deux cas distincts, un respon­sable du trai­te­ment pour avoir annoncé tardi­ve­ment une fuite des données (DPC – Inquiry into University College Dublin (IN-19–7‑4) ; AEPD – PS/​00179/​2020).

Dans le futur droit suisse, l’annonce d’une viola­tion de la sécu­rité des données devra être effec­tuée « dans les meilleurs délais » (art. 24 al. 1 nLPD). Contrairement au droit euro­péen, le texte de la loi ne précise pas le point de départ du délai. À notre avis, en raison de l’adoption de cette dispo­si­tion pour s’aligner sur le droit euro­péen, il convient de consi­dé­rer que le délai commence égale­ment à courir lorsque le respon­sable du trai­te­ment est raison­na­ble­ment certain qu’un inci­dent de sécu­rité s’est produit et que cet inci­dent a compro­mis des données personnelles.

Cela étant, vu que le délai est plus étendu qu’en droit euro­péen – il n’y a pas de réfé­rence aux 72 heures – et que sa viola­tion n’engendre ni de consé­quence pénale ni une amende admi­nis­tra­tive, la ques­tion du début du délai en droit suisse déploie moins de consé­quences pratiques qu’en droit européen.



Proposition de citation : Célian Hirsch, Une annonce (très) rapide d’une fuite de données ou une amende salée, 22 novembre 2021 in www.swissprivacy.law/105


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Documentation externe et interne aux entreprises en matière de protection de données
  • Le RGPD s’oppose-t-il à l’obligation de publier sur Internet une déclaration d’intérêts afin de lutter contre…
  • Que signifie pour une personne concernée de rendre ses données personnelles « manifestement publiques » ?
  • Jeu, set et match : tour d’horizon des récentes avancées législatives
Derniers articles
  • Consécration du principe de la gratuité de la transparence
  • Un licenciement fondé sur les données GPS conforme à la CEDH ?
  • Sujets traités lors d’une séance d’un exécutif communal vaudois : publics ou confidentiels ?
  • Cyberattaques : vers une nouvelle obligation d’annonce
Abonnement à notre newsletter
swissprivacy.law