swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Le devoir d’informer l’autorité et le principe nemo tenetur

Célian Hirsch, le 24 mars 2021
Selon l’au­to­rité néer­lan­daise de protec­tion des données, l’obli­ga­tion de lui trans­mettre le rapport d’une fuite de données n’est pas contraire au prin­cipe nemo tene­tur.

Décision de l’Autoriteit Persoonsgegeven (Pays-Bas) du 26 novembre 2020 contre Stichting OLVG

Un hôpi­tal situé à Amsterdam annonce à l’au­to­rité néer­lan­daise de protec­tion des données (Autoriteit Persoonsgegeven) qu’il a été victime d’une « viola­tion de données », confor­mé­ment à son obli­ga­tion prévue par l’art. 33 par. 1 RGPD d’in­for­mer l’au­to­rité compé­tente lors d’une fuite de données. Concrètement, l’hô­pi­tal trans­met à l’au­to­rité deux rapports de fuite de données concer­nant l’ac­cès du person­nel et des étudiants aux dossiers élec­tro­niques des patients.

L’autorité ouvre alors une enquête pour viola­tion, par l’hô­pi­tal, de la sécu­rité du trai­te­ment au sens de l’art. 32 RGPD. En résumé, elle lui reproche de n’avoir pas prévu une authen­ti­fi­ca­tion à deux facteurs lors­qu’un employé de l’hô­pi­tal voulait accé­der aux dossiers élec­tro­niques des patients. Or l’hô­pi­tal traite des données extrê­me­ment sensibles sur la santé d’en­vi­ron 500’000 patients. Afin de proté­ger ces données de manière adéquate, un système de double authen­ti­fi­ca­tion était nécessaire.

Pour sa défense, l’hô­pi­tal soulève la viola­tion du prin­cipe nemo tene­tur ipsum accu­sare, à savoir le droit de ne pas s’auto-incri­mi­ner (art. 48 de la Charte euro­péenne des droits de l’homme et art. 6 CEDH).

Avant d’ex­po­ser l’ar­gu­ment de l’hô­pi­tal, il convient de rappe­ler la portée de ce prin­cipe ainsi que les obli­ga­tions du respon­sable du trai­te­ment lors­qu’il est victime d’une fuite de données.

Selon la juris­pru­dence de la CourEDH, le droit de ne pas s’auto-incriminer est violé lorsqu’un suspect, qui est menacé de subir des sanc­tions pénales s’il ne colla­bore pas, livre les infor­ma­tions deman­dées ou est puni préci­sé­ment pour avoir refusé de le faire.

En droit euro­péen, lors­qu’un respon­sable découvre qu’il a été victime d’une « viola­tion de données », il doit trans­mettre dans les 72 heures un rapport de la fuite à l’au­to­rité compé­tente (art. 33 par. 1 RGPD). Ce rapport doit décrire la nature de la viola­tion, ses consé­quences probables ainsi que les mesures prises ou que le respon­sable du trai­te­ment propose de prendre pour remé­dier à la viola­tion (art. 33 par. 3 RGPD).

S’il ne respecte pas cette obli­ga­tion, il peut être sanc­tionné d’une amende pouvant s’éle­ver jusqu’à EUR 10’000’000 ou, dans le cas d’une entre­prise, jusqu’à 2 % du chiffre d’af­faires annuel mondial total (art. 83 RGPD).

En l’es­pèce, selon l’hô­pi­tal, l’en­quête a été ouverte unique­ment en raison des rapports de fuite de données, lesquels ont été remis sous la menace d’une peine (art. 33 par. 1 RGPD cum art. 83 RGPD). Or sanc­tion­ner une personne grâce à des docu­ments remis sous la contrainte est contraire au prin­cipe selon lequel personne n’est obligé de s’auto-incriminer.

Même si la juris­pru­dence de la CourEDH recon­naît que le prin­cipe nemo tene­tur ne s’ap­plique pas aux docu­ments exis­tant indé­pen­dam­ment de la volonté de la personne concer­née, les rapports de fuite de données ne consti­tue­raient pas de tels docu­ments selon l’hô­pi­tal. En effet ces rapports auraient été établis préci­sé­ment afin de respec­ter le devoir d’in­for­mer l’au­to­rité de la fuite selon l’art. 33 par. 1 RGPD. Ils ont donc été établis sous la contrainte d’une sanc­tion pénale, à savoir l’amende prévue par l’art. 83 RGPD.

L’autorité néer­lan­daise de protec­tion des données rejette cette argu­men­ta­tion dans la déci­sion commen­tée ici.

Premièrement, elle affirme que les deux rapports de fuite de données ont eu pour seul effet d’inciter l’ouverture d’une enquête contre l’hô­pi­tal. Ils n’ont toute­fois pas servi de moyens de preuve de viola­tion par l’hô­pi­tal de ses obli­ga­tions de sécu­rité du trai­te­ment des données (art. 32 RGPD). Par ailleurs, l’art. 33 par. 5 RGPD prévoit que le respon­sable du trai­te­ment doit docu­men­ter toutes les viola­tions de données. Les rapports de fuite consti­tuent dès lors des docu­ments exis­tant indé­pen­dam­ment de la volonté de la personne concernée.

En outre, l’au­to­rité néer­lan­daise n’a pas formel­le­ment demandé les rapports, même si elle a demandé un complé­ment d’in­for­ma­tion suite au premier rapport. Le simple fait que le cour­rier de l’au­to­rité contienne une réfé­rence au droit de l’au­to­rité d’or­don­ner au respon­sable « de lui commu­ni­quer toute infor­ma­tion dont elle a besoin pour l’ac­com­plis­se­ment de ses missions » (art. 58 par. 1 RGPD) n’y change rien. Les infor­ma­tions n’ont donc pas été obte­nues sous la contrainte.

Enfin, l’au­to­rité souligne que, même si elle devait écar­ter certaines preuves décou­lant du rapport, celui-ci contient des docu­ments qui exis­taient déjà avant le rapport de fuite. Ils consti­tuent en tout état de cause des docu­ments indé­pen­dants. Par la suite, l’au­to­rité a égale­ment recueilli des docu­ments d’employés, auxquels le droit de garder le silence avait été rappelé.

Pour ces diverses raisons, l’au­to­rité néer­lan­daise consi­dère que l’amende infli­gée à l’hô­pi­tal ne contre­vient pas au prin­cipe nemo tene­tur.

Le raison­ne­ment de l’au­to­rité néer­lan­daise est-il entiè­re­ment convain­cant ? Nous avons quelques doutes.

Premièrement, l’hô­pi­tal a été, selon nous, contraint de s’auto-incri­mi­ner. En effet, il n’avait que deux options : soit respec­ter son devoir d’in­for­mer l’au­to­rité de la fuite (art. 33 RGPD), soit violer ce devoir et risquer une amende impor­tante, laquelle doit être consi­dé­rée comme de nature pénale au sens de la juris­pru­dence de la CourEDH (juris­pru­dence Engel c. Pays-Bas). L’hôpital n’a donc pas établi et trans­mis libre­ment le rapport de fuite.

Deuxièmement, l’ex­cep­tion des pre-exis­ting docu­ments (docu­ments exis­tant indé­pen­dam­ment de la volonté de la personne concer­née) est sujette à débat. La juris­pru­dence de la CourEDH recon­naît cette excep­tion pour « les docu­ments recueillis en vertu d’un mandat, les prélè­ve­ments d’haleine, de sang et d’urine ainsi que de tissus corpo­rels en vue d’une analyse de l’ADN » (Saunders c. Royaume-Uni [GC], par. 69). Cette excep­tion est justi­fiée par le fait que l’au­to­rité peut dans tous les cas état saisir ces données, même si le suspect refuse de colla­bo­rer. Il est donc admis que même si l’au­to­rité « contraint » une personne à lui four­nir ces infor­ma­tions, le prin­cipe nemo tene­tur ne s’ap­plique pas pour ces documents.

À notre avis, il n’est pas convain­cant d’ap­pli­quer cette excep­tion aux rapports de fuite de données. En effet, ceux-ci sont établis préci­sé­ment afin d’in­for­mer l’au­to­rité compé­tente, voire les personnes concer­nées, de la fuite. Bien que certains docu­ments du rapport puissent exis­ter avant la fuite, ils ne deviennent inté­res­sants pour l’au­to­rité, et permettent de docu­men­ter la fuite, qu’une fois qu’ils sont liés à d’autres docu­ments. Cet ensemble de docu­ments, et le travail qui est déployé pour établir ce rapport, ne permet donc pas de consi­dé­rer que certains docu­ments, voire le rapport tout entier, consti­tuent des pre-exis­ting docu­ments.

Enfin, il nous parait diffi­ci­le­ment soute­nable de prétendre que l’au­to­rité aurait pu sanc­tion­ner l’hô­pi­tal sans les rapports de fuite de données. En effet, sans une quel­conque infor­ma­tion de la fuite, l’au­to­rité n’au­rait proba­ble­ment jamais examiné si l’hô­pi­tal respec­tait le prin­cipe de la sécu­rité des trai­te­ments de données (art. 32 RGPD).

Notons que le légis­la­teur alle­mand, conscient de ce problème, a préci­sé­ment adopté l’art. 43 al. 4 BDSG afin que le rapport de fuite de données ne puisse pas être exploité par l’au­to­rité de contrôle afin de sanc­tion­ner le respon­sable du traitement.

À notre avis, cette même solu­tion devrait s’im­po­ser aux autres États membres de l’Union euro­péenne. En effet, le fait d’uti­li­ser le rapport de fuite de données contre le respon­sable du trai­te­ment consti­tue une viola­tion de l’art. 48 de la Charte euro­péenne des droits de l’homme et de l’art. 6 CEDH. Ce rapport devrait ainsi toujours être déclaré inex­ploi­table dans une procé­dure visant à sanc­tion­ner le respon­sable du trai­te­ment (art. 83 RGPD).

Qu’en est-il de la situa­tion helvé­tique ? Contrairement à l’avant-projet, la nLPD ne prévoit aucune sanc­tion pénale lors d’une viola­tion du devoir d’in­for­mer le Préposé fédé­ral d’une fuite de données (art. 24 nLPD). L’avant-projet avait d’ailleurs préci­sé­ment été criti­qué sur ce point. Selon nous, notre légis­la­teur a choisi une solu­tion convain­cante à cet égard : selon l’art. 24 al. 6 nLPD, le rapport de fuite ne peut pas être utilisé dans le cadre d’une procé­dure pénale contre la personne tenue d’annoncer la fuite, à moins que celle-ci y donne son consentement.

 



Proposition de citation : Célian Hirsch, Le devoir d’informer l’autorité et le principe nemo tenetur, 24 mars 2021 in www.swissprivacy.law/64


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • US CLOUD Act – un aperçu
  • La mise en place de mesures de sécurité techniques et organisationnelles : not just a checklist !
  • Une annonce (très) rapide d’une fuite de données ou une amende salée
  • Les données de douze millions de consommateurs en libre accès
Derniers articles
  • Contenu de l’information sur le licenciement d’un employé à l’interne
  • L’administration publique responsable dans l’utilisation de services en nuage
  • Une DPO peut-elle être licenciée pour une raison autre que celle liée à ses qualités professionnelles ?
  • La mise en place de mesures de sécurité techniques et organisationnelles : not just a checklist !
Abonnement à notre newsletter
swissprivacy.law