Décision de l’autorité de protec­tion des données d’Espagne du 21 février 2023 (PS-00480–2022)

Lors d’une visite dans un poste de police, un résident espa­gnol remarque des blocs-notes sur le guichet de la récep­tion. Au verso des feuilles atta­chées ensemble se trouvent des données person­nelles concer­nant à la fois les citoyens qui se sont rendus au poste de police et les fonc­tion­naires de police qui y travaillent.

À la suite de cette trou­vaille, le résident alerte l’autorité espa­gnole de la protec­tion des données (Agencia Española de Protección de Datos, « AEPD ») de la situa­tion en dépo­sant une plainte contre la Direction géné­rale de la police. Il y joint plusieurs photo­gra­phies montrant les versos où peuvent se lire noms, prénoms et numé­ros d’identification d’individus, certains compre­nant le sceau du minis­tère de l’intérieur espa­gnol. L’enquête a démon­tré que ces blocs-notes étaient issus de papiers recy­clés par le poste de police.

Dans sa déci­sion, l’AEPD estime préa­la­ble­ment que c’est bien la Direction géné­rale de la police espa­gnole (« DGP ») et non le poste de police en tant que tel qui déter­mine les fina­li­tés et les moyens. Partant, c’est elle la respon­sable du trai­te­ment de données personnelles.

Ensuite, l’AEPD rappelle la défi­ni­tion géné­rale de la viola­tion de données à carac­tère person­nel ou « viola­tion de sécu­rité ». L’art. 4 par. 12 RGPD la défi­nit comme

« une viola­tion de la sécu­rité entraî­nant, de manière acci­den­telle ou illi­cite, la destruc­tion, la perte, l’al­té­ra­tion, la divul­ga­tion non auto­ri­sée de données à carac­tère person­nel trans­mises, conser­vées ou trai­tées d’une autre manière, ou l’ac­cès non auto­risé à de telles données ».

En l’espèce, l’AEPD juge qu’une viola­tion de la sécu­rité a bien eu lieu. Le fait que la plai­gnante ait eu accès à des blocs-notes conte­nant des données person­nelles tant d’agents de police que de personnes qui se sont adres­sées à eux est consti­tu­tif d’une viola­tion de sécu­rité par divul­ga­tion non autorisée.

L’AEPD rappelle ensuite que l’identification d’une viola­tion de sécu­rité n’implique pas auto­ma­ti­que­ment l’imposition d’une sanc­tion. Il est encore néces­saire d’analyser la dili­gence dont le respon­sable du trai­te­ment a fait preuve ainsi que les mesure de sécu­rité appliquées.

Pour ce faire, l’AEPD analyse succes­si­ve­ment les art. 5 et 32 ss du RGPD. L’art. 5 let. f RGPD traite des sous-prin­cipes au prin­cipe de sécu­rité des données, à savoir l’intégrité et la confi­den­tia­lité. Il prévoit que les données à carac­tère person­nel sont

« trai­tées de façon à garan­tir une sécu­rité appro­priée des données à carac­tère person­nel, y compris la protec­tion contre le trai­te­ment non auto­risé ou illi­cite et contre la perte, la destruc­tion ou les dégâts d’ori­gine acci­den­telle, à l’aide de mesures tech­niques ou orga­ni­sa­tion­nelles appropriées ».

En l’espèce, l’AEPD estime que le prin­cipe de confi­den­tia­lité a été violé. En effet, il est établi que les données person­nelles des personnes concer­nées conte­nues dans la base de données de la DGP ont été indû­ment expo­sées à des tiers non autorisés.

Ensuite, l’AEPD se penche sur le prin­cipe de sécu­rité des données et plus parti­cu­liè­re­ment du trai­te­ment de l’art. 32 RGPD. Son par. 1 prévoit que

« compte tenu de l’état des connais­sances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des fina­li­tés du trai­te­ment ainsi que des risques, dont le degré de proba­bi­lité et de gravité varie, pour les droits et liber­tés des personnes physiques, le respon­sable du trai­te­ment et le sous-trai­tant mettent en œuvre les mesures tech­niques et orga­ni­sa­tion­nelles appro­priées afin de garan­tir un niveau de sécu­rité adapté au risque (…) ».

Après avoir été inter­ro­gée par l’AEPD sur les mesures mises en place pour garan­tir la sécu­rité, la DGP l’a informé que le commis­sa­riat dispo­sait de quatre déchi­que­teuses à papier, ainsi que de direc­tives internes rela­tives à la destruc­tion de docu­ments de police. Elle ajoute que la confi­den­tia­lité et la destruc­tion correcte des docu­ments de police sont des « objec­tifs prio­ri­taires pour la DGP ». Cet enga­ge­ment se traduit par l’élaboration de règle­ments et leur diffu­sion, ainsi que la forma­tion des agents et des procé­dures disci­pli­naires en cas de violation.

Cependant, l’AEPD a jugé ces mesures insuf­fi­santes, étant donné que des docu­ments conte­nant des infor­ma­tions person­nelles n’ont pas été détruits mais recy­clés en blocs-notes et rendus acces­sibles pour des tiers.

L’AEPD conclut donc à la viola­tion tant des prin­cipes de l’art. 5 let. f RGPD que des obli­ga­tions des art. 32 ss RGPD. Bien que ces viola­tions aient été jugées graves par l’AEPD, le droit natio­nal espa­gnol ne permet pas à des organes publics d’être sanc­tion­nés par des amendes admi­nis­tra­tives. L’AEPD s’est donc limi­tée à répri­man­der le respon­sable du traitement.

Cette déci­sion a priori anec­do­tique illustre bien la rapi­dité et le carac­tère aléa­toire de la surve­nance d’une viola­tion de sécu­rité. Sans doute, la démarche de réuti­li­sa­tion de papier est partie d’une inten­tion écolo­gique (voire économe). Elle n’a toute­fois pas été sans (graves) conséquences.

Le droit suisse prévoit égale­ment le prin­cipe de sécu­rité des données à l’art. 8 LPD (ancien­ne­ment art. 7 aLPD) pour le respon­sable du trai­te­ment et les sous-trai­tants. Des mesures tech­niques et orga­ni­sa­tion­nelles seront à mettre en place pour assu­rer une sécu­rité adéquate des données person­nelles par rapport au risque encouru.

Conformément au mandat donné au Conseil fédé­ral à l’art. 8 al. 3 LPD, les art. 1 à 6 OPDo ont été adop­tés. Ils exposent d’abord les prin­cipes (art. 1 OPDo) et les objec­tifs de la sécu­rité des données (art. 2 OPDo). L’art. 3 OPDo liste ensuite les mesures à mettre en place selon les objec­tifs de protec­tion, comme le contrôle de l’accès aux données (art. 3 al. 1 let. a OPDo).

Cette déci­sion met en exergue le fait que la simple mise en place de mesures tech­niques et orga­ni­sa­tion­nelles ne suffit pas toujours. D’une part, la LPD ne prévoit pas d’exigence de sécu­rité abso­lue, car le risque zéro n’existe pas. D’autre part, il est possible de prévoir et de mettre en place un grand nombre de mesures, ici des déchi­que­teuses et des forma­tions, encore faut-il qu’elles soient mises en œuvre. La sécu­rité des données est par consé­quent un proces­sus dyna­mique. Les mesures doivent régu­liè­re­ment être réexa­mi­nées et, le cas échéant, adap­tées pour main­te­nir un niveau de sécu­rité adéquat.