PFPDT, Guide rela­tif à l’annonce des viola­tions de la sécu­rité des données et l’information des personnes concer­nées en vertu de l’art. 24 LPD du 6 février 2025

La sécu­rité des données est un équi­libre déli­cat, où chaque faille peut lais­ser entrer des risques mena­çant l’in­té­grité, la dispo­ni­bi­lité et la confi­den­tia­lité des infor­ma­tions. Lorsqu’une viola­tion de la sécu­rité se produit, le droit impose à certaines condi­tions une direc­tion : celle de l’alerte et de la transparence.

Pour orien­ter les respon­sables du trai­te­ment, le Préposé fédé­ral à la protec­tion des données (PFPDT) offre un guide visant à éclai­rer le devoir d’annonce des viola­tions de la sécu­rité des données.

L’annonce d’une viola­tion de la sécu­rité des données (art. 24 LPD) que ce soit au PFPDT (al. 1) ou aux personnes concer­nées (al. 4) présup­pose la surve­nance d’une viola­tion de leur sécu­rité. A teneur de l’art. 5 let. h LPD, il s’agit de

Toute viola­tion de la sécu­rité entraî­nant de manière acci­den­telle ou illi­cite la perte de données person­nelles, leur modi­fi­ca­tion, leur effa­ce­ment ou leur destruc­tion, leur divul­ga­tion ou un accès non auto­ri­sés à ces données.

En cas de viola­tion de la sécu­rité des données, l’art. 24 LPD prévoit des obli­ga­tions pour le respon­sable du trai­te­ment et des droits pour les personnes concernées.

Dans son Guide rela­tif à l’annonce des viola­tions de la sécu­rité des données et l’information des personnes concer­nées en vertu de l’art. 24 LPD, le PFPDT présente dans un premier temps les condi­tions légales pour l’annonce des viola­tions au PFPDT (art. 24 al. 1 LPD). Dans un deuxième temps, il précise les condi­tions d’information des personnes concer­nées (art. 24 al. 4 LPD). La présente contri­bu­tion en resti­tue les grandes lignes et propose quelques remarques critiques.

Annonces au PFPDT

L’art. 24 al. 1 LPD prévoit que

Le respon­sable du trai­te­ment annonce dans les meilleurs délais au PFPDT les cas de viola­tion de la sécu­rité des données entraî­nant vrai­sem­bla­ble­ment un risque élevé pour la person­na­lité ou les droits fonda­men­taux de la personne concernée.

Lorsque le respon­sable du trai­te­ment a connais­sance d’une viola­tion de la sécu­rité des données (art. 5 let. h LPD), il doit conduire une analyse afin d’en déter­mi­ner l’étendue et les risques. Si l’analyse des risques révèle qu’un risque élevé au sens de l’art. 24 al. 1 LPD existe ou ne peut être exclu, le respon­sable du trai­te­ment doit commu­ni­quer la viola­tion de sécu­rité des données au PFPDT.

Le fait d’admettre un devoir d’in­for­mer en raison du simple fait que le risque élevé « ne peut être exclu » n’est pas convain­cant. Cela ne corres­pond ni à l’exigence de la lettre de la loi (exis­tence d’un risque élevé), ni à l’intention du légis­la­teur. En effet, le seuil de risque élevé a pour but « d’éviter l’annonce de viola­tions insi­gni­fiantes » (FF 2017 6681). La lecture du PFPDT revien­drait à créer une présomp­tion de risque élevé. Or, contrai­re­ment au légis­la­teur euro­péen (cf. art. 33 RGPD), le légis­la­teur suisse n’a pas voulu de telle présomp­tion (cf. art. 17 al. 1 AP-LPD ; Hirsch Célian, Le devoir d’informer lors d’une viola­tion de la sécu­rité des données – Avec un regard parti­cu­lier sur les données bancaires, thèse, Genève 2023, p. 146 ss).

Le contenu de l’annonce est énuméré à l’art. 15 al. 1 OPDo. Elle contient notam­ment la nature de la viola­tion (let. a), les caté­go­ries de données person­nelles et de personnes concer­nées (let. c et d), ainsi que les consé­quences, y compris les risques, (let. e) et les mesures prises ou prévues pour y remé­dier (let. f).

Lorsque le PFPDT reçoit l’annonce, il examine succinc­te­ment si les mesures d’urgence et de suivi prises ou prévues par le respon­sable du trai­te­ment pour proté­ger les personnes concer­nées et réduire les incon­vé­nients (art. 15 al. 1 let. f OPDo) paraissent appro­priées, suffi­santes et opportunes.

Selon le Guide, le PFPDT peut deman­der au respon­sable du trai­te­ment des préci­sions concer­nant les faits décrits et de modi­fier ou de complé­ter les mesures prises ou prévues. Il pour­rait égale­ment prendre contact avec lui afin de s’assurer que l’incident soit bien documenté.

À notre avis, la simple exis­tence d’une viola­tion de la sécu­rité ne permet pas au PFPDT d’imposer des mesures de sécu­rité au respon­sable du trai­te­ment. S’il veut impo­ser de telles mesures, il doit démon­trer une viola­tion du prin­cipe de sécu­rité des données (art. 8 cum art. 51 LPD), ce qui diffère d’une viola­tion de la sécu­rité au sens de l’art. 5 let. h LPD (cf. Hirsch, op. cit., p. 77 ss).

En outre, l’obligation de docu­men­ter l’incident ne trouve pas sa source dans la loi. Elle nous semble ainsi inva­lide en raison de l’absence d’une base légale formelle (cf. Hirsch, op. cit., p. 361 ss).

Le PFPDT examine si les personnes concer­nées sont infor­mées de l’incident et de ses consé­quences (art. 15 al. 3 et 4 OPDo). S’il en va de l’intérêt géné­ral, il peut égale­ment infor­mer le public de ses consta­ta­tions et déci­sions confor­mé­ment à l’art. 57 al. 2 LPD.

Selon la juris­pru­dence, la publi­ca­tion d’une déci­sion consti­tue une sanc­tion en soi (ATF 143 I 352 c. 4.1, résumé in LawInside​.ch/​4​80/ ; TF, 2D_​8/​2021 (publié aux ATF 148 I 226), c. 4.3.2, commenté in LawInside​.ch/​1​2​18/). Vu que la LPD ne prévoit pas ce type de sanc­tion, nous consi­dé­rons que le PFPDT ne devrait pas pouvoir publier une déci­sion non anony­mi­sée (cf. Hirsch, op. cit., p. 109 s.). Il peut cepen­dant publier un commu­ni­qué de presse nommant le respon­sable du trai­te­ment « [s]’il en va de l’intérêt géné­ral » (comp. 2C_​682/​2023*, commenté in LawInside​.ch/​1​5​10/, au sujet de la pratique de publi­ca­tion de la FINMA).

Le PFPDT a égale­ment la faculté de récep­tion­ner les annonces de viola­tion de la sécu­rité des données adres­sées spon­ta­né­ment. C’est le cas notam­ment des situa­tions dans lesquelles les respon­sables du trai­te­ment n’identifient pas de risque élevé pour les personnes concer­nées, mais souhaitent tout de même l’en infor­mer. Cette possi­bi­lité est parti­cu­liè­re­ment utile en présence d’une viola­tion de la sécu­rité impli­quant un risque faible, mais un grand nombre de personnes concer­nées dont une couver­ture média­tique n’est pas à exclure.

Afin de dépo­ser une annonce selon l’art. 24 al. 1 LPD, le PFPDT met un portail d’annonce à dispo­si­tion (data​breach​.edoeb​.admin​.ch). Ce portail garan­tit la trans­mis­sion sécu­ri­sée des données au PFPDT. Il garan­tit égale­ment que l’annonce contient les infor­ma­tions énumé­rées à l’art. 15 al. 1 OPDo.

Dans la mesure où aucune forme n’a été impo­sée par la loi, l’utilisation d’un formu­laire sur le site du PFPDT peut être recom­man­dée, mais l’autorité ne saurait refu­ser de trai­ter une annonce qui lui parvien­drait par cour­rier postal (cf. CR LPD-Métille/Meyer, art. 24, N 53). Cependant, afin de struc­tu­rer et de simpli­fier les démarches, il semble­rait oppor­tun d’en faire usage.

Risque élevé selon l’art. 24 al. 1 LPD

Comme évoqué, le respon­sable du trai­te­ment a l’obligation d’annoncer une viola­tion de la sécu­rité lorsqu’elle entraîne « vrai­sem­bla­ble­ment un risque élevé pour la person­na­lité ou les droits fonda­men­taux de la personne concernée ».

L’évaluation du risque élevé se fait en deux temps. Dans un premier, le respon­sable du trai­te­ment doit clari­fier dans quelle mesure la viola­tion a déjà entrainé des atteintes à la person­na­lité ou aux droits fonda­men­taux des personnes physiques. Dans un deuxième, tout en s’appuyant sur le critère de « vrai­sem­blance » mentionné dans la loi, il intègre à son évalua­tion les consé­quences pour les personnes poten­tiel­le­ment concer­nées. Ce facteur n’est ni mesu­rable défi­ni­ti­ve­ment, ni prévi­sible de manière certaine au moment de l’évaluation.

Selon le Guide, l’évaluation du risque vrai­sem­bla­ble­ment élevé (art. 24 al. 1 LPD) doit être faite sans tenir compte des mesures correc­tives prises après la viola­tion. Toutefois, dans la pratique du PFPDT, les mesures d’urgence prises avant l’annonce peuvent être consi­dé­rées si elles ont effec­ti­ve­ment réduit ou éliminé le risque.

Par exemple, si une entre­prise reprend rapi­de­ment le contrôle de ses bases de données et prouve qu’aucun usage malveillant n’a eu lieu, cela peut atté­nuer l’évaluation du risque. Cependant, en cas de doute, l’annonce doit être faite sans attendre, notam­ment lorsqu’on ignore si des données volées ont été exploi­tées, comme dans le cas d’une attaque par rançon logi­ciel (ransom­ware).

Selon le PFPDT, l’évaluation du risque vrai­sem­bla­ble­ment élevé repose sur plusieurs critères. Nous en resti­tuons ici quelques-uns.

La nature des données est déter­mi­nante. Plus elles sont sensibles (de santé, biomé­triques, sur l’aide sociale), plus le risque est élevé. Toutefois, même des données non sensibles peuvent présen­ter un risque selon leur contexte d’utilisation.

Les circons­tances de la viola­tion jouent égale­ment un rôle clé. Une fuite due à un acte crimi­nel ou une expo­si­tion sur le dark­net augmente le risque, tandis qu’une suppres­sion invo­lon­taire sans diffu­sion externe en réduit l’impact. De même, plus il est facile d’identifier les personnes concer­nées, plus le risque est élevé, sauf si les données sont effi­ca­ce­ment chiffrées.

D’autres facteurs entrent en compte, comme le volume et la durée du trai­te­ment, le préju­dice moral ou écono­mique (usur­pa­tion d’identité, fraude, discri­mi­na­tion) et la vulné­ra­bi­lité des personnes concer­nées (mineurs, personnes en situa­tion de handicap).

Enfin, un grand nombre de personnes touchées ne signi­fie pas auto­ma­ti­que­ment un risque élevé, mais peut justi­fier une annonce pour des raisons d’intérêt public. L’évaluation repose ainsi sur une analyse globale des données, des circons­tances et des consé­quences potentielles.

De surcroît, encore faut-il évaluer la proba­bi­lité des consé­quences redou­tées. Cela consiste à esti­mer si les effets néga­tifs d’une viola­tion de la sécu­rité des données sont suscep­tibles de se produire. En règle géné­rale, plus les données concer­nées sont sensibles, plus cette proba­bi­lité est élevée. Par exemple, un hôpi­tal trai­tant des données médi­cales doit consi­dé­rer un risque plus impor­tant qu’un distri­bu­teur alimen­taire, même avant d’avoir la certi­tude que des infor­ma­tions sensibles ont été compromises.

Principe de transparence

Les annonces de viola­tions de la sécu­rité des données au PFPDT sont soumises au prin­cipe de trans­pa­rence prévu par la loi fédé­rale sur la trans­pa­rence (LTrans). Elles sont consi­dé­rées comme des docu­ments offi­ciels et sont donc, en prin­cipe, acces­sibles au public, qu’elles soient obli­ga­toires ou spon­ta­nées. Toutefois, le PFPDT peut limi­ter ou diffé­rer l’accès selon les excep­tions prévues les art. 7 ss LTrans. Avant toute divul­ga­tion, il doit consul­ter les tiers concer­nés et statuer par une prise de posi­tion ou une décision.

À notre avis, le PFPDT doit en parti­cu­lier exami­ner si l’annonce contient certaines infor­ma­tions proté­gées par le secret d’affaires (art. 7 al. 1 let. g LTrans ; cf. Hirsch, op. cit., p. 432 ss). Il doit en tout état effec­tuer une pesée des inté­rêts si le requé­rant désire obte­nir un rapport de viola­tion de la sécu­rité non anonyme (art. 7 al. 2 et 9 LTrans ; cf. Hirsch, op. cit., p. 439 s.).

Obligation et sanction

Si le respon­sable du trai­te­ment omet de noti­fier une viola­tion de la sécu­rité des données au PFPDT, ce dernier peut lui ordon­ner de recti­fier l’omission (art. 51 al. 3 let. f LPD). D’autres mesures admi­nis­tra­tives peuvent être impo­sées, par exemple si les exigences de l’art. 8 LPD ne sont pas respectées.

Selon le Guide, le non-respect total ou partiel de l’obligation de noti­fi­ca­tion n’est pas sanc­tionné par la LPD. Une préci­sion est de mise. Lorsque le PFPDT ordonne au respon­sable du trai­te­ment d’annoncer une viola­tion de la sécu­rité par déci­sion sous la menace de la peine prévue à l’art. 63 LPD, alors son non-respect est punis­sable. De plus, une viola­tion de la sécu­rité des données peut entraî­ner des consé­quences pénales si les exigences mini­males de sécu­rité ne sont pas respec­tées (art. 61 let. c LPD).

En outre, l’art. 24 al. 6 LPD précise que les noti­fi­ca­tions obli­ga­toires ne peuvent être utili­sées dans une procé­dure pénale sans consen­te­ment préalable.

Information aux personnes concernées 

Le Guide du PFPDT aborde égale­ment un aspect essen­tiel lié aux viola­tions de la sécu­rité des données, à savoir l’obli­ga­tion d’in­for­mer les personnes concer­nées en vertu de l’art. 24 al. 4 LPD. Cette obli­ga­tion d’in­for­ma­tion est distincte de l’obli­ga­tion de noti­fi­ca­tion au PFPDT en vertu de l’art. 24 al. 1 LPD. Elle est régie par des condi­tions spécifiques.

L’obligation d’in­for­mer la personne concer­née s’applique « lorsque cela est néces­saire à sa protec­tion ou lorsque le PFPDT l’exige » (art. 24 al. 4 LPD). Cela est présumé lorsque la personne concer­née peut ou doit prendre des mesures pour réduire ou éviter un dommage, comme modi­fier des mots de passe ou bloquer une carte de crédit. Le besoin de protec­tion peut égale­ment exis­ter dans d’autres situa­tions, par exemple en cas de risques liés à des cour­riels de phishing.

Le PFPDT clari­fie une contro­verse doctri­nale : l’obligation d’in­for­mer les personnes concer­nées n’est pas condi­tion­née à l’existence d’un « risque élevé » au sens de l’art. 24 al. 1 LPD (cf. ég. Hirsch, op. cit., p. 160 ss).

Selon le Guide, le PFPDT peut exiger que le respon­sable du trai­te­ment informe les personnes concer­nées tant en raison de leur besoin de protec­tion qu’en raison d’un éven­tuel inté­rêt public, par exemple en raison d’un grand nombre de personnes concer­nées ou d’une couver­ture médiatique.

Comme le souligne Vasella, cette appré­cia­tion est erro­née. Le PFPDT ne peut impo­ser au respon­sable du trai­te­ment de respec­ter que ses devoirs décou­lant de la LPD, à savoir infor­mer la personne concer­née « lorsque cela est néces­saire à sa protec­tion » au sens de l’art. 24 al. 4 LPD. En d’autres termes, si le respon­sable du trai­te­ment n’informe pas la personne concer­née, le PFPDT peut procé­der à sa propre analyse de la néces­sité de l’information en faveur des personnes concer­nées. Ce n’est que si l’information est en effet néces­saire à la protec­tion de la personne concer­née que le PFPDT pourra ordon­ner au respon­sable du trai­te­ment une annonce (cf. Hirsch, op. cit., p. 164).

L’information four­nie aux personnes concer­nées doit être claire et compré­hen­sible, confor­mé­ment à l’art. 15 al. 3 OPDo. Elle doit inclure la nature de la viola­tion, ses consé­quences, les risques pour les personnes concer­nées, ainsi que les mesures prises pour y remé­dier. La méthode d’in­for­ma­tion est lais­sée au choix du respon­sable du trai­te­ment, mais celle-ci doit être directe et indi­vi­duelle. Une commu­ni­ca­tion publique est possible unique­ment dans des cas excep­tion­nels, lorsque l’in­for­ma­tion de toutes les personnes concer­nées peut être assu­rée de manière équivalente.

Si le respon­sable du trai­te­ment omet ou refuse d’in­for­mer les personnes concer­nées comme prévu par l’art. 24 al. 4 LPD, le PFPDT peut lui ordon­ner de recti­fier cette défaillance, confor­mé­ment à l’art. 51 al. 3 let. f LPD. En outre, des mesures admi­nis­tra­tives supplé­men­taires peuvent être prises, notam­ment si les exigences de l’art. 8 LPD n’ont pas été respectées.

En chiffres

Entre le 9 mai 2023 (à savoir la mise en ligne de la plate­forme d’annonce du PFPDT) et le 8 août 2024, un total de 353 annonces de viola­tion de la sécu­rité a été effec­tué. Comme indi­qué dans le Guide, ces annonces permettent en pratique au PFPDT de véri­fier si les personnes concer­nées ont été égale­ment infor­mées et, si tel n’est pas le cas, d’inciter le respon­sable du trai­te­ment à les informer.

Les caté­go­ries de données person­nelles les plus vulné­rables ont été les noms, les adresses (email) ainsi que les données de carte d’identité, d’impôts ou encore d’AVS. Ces viola­tions ont prin­ci­pa­le­ment conduit à l’usurpation d’identité des personnes concer­nées, de la fraude ou encore à la divul­ga­tion de secrets de fonc­tion ou professionnels.

Conclusion

Le présent guide est le bien­venu pour épau­ler les respon­sables du trai­te­ment et réduire les poten­tielles consé­quences néga­tives sur les personnes concer­nées. Il ne consti­tue cepen­dant que la vision du PFPDT et ne lie pas les tribunaux.

Les critères défi­nis dans le guide du PFPDT sont large­ment en accord avec ceux iden­ti­fiés dans les Lignes direc­trices 9/​2022 sur la noti­fi­ca­tion de viola­tions de données à carac­tère person­nel en vertu du RGPD (pour un exemple d’une affaire de viola­tion de la sécu­rité à l’aune du RGPD, cf. swiss​pri​vacy​.law/​1​05/), ce qui témoigne d’une harmo­ni­sa­tion crois­sante entre la légis­la­tion suisse et euro­péenne (concer­nant l’influence du RGPD sur la LPD, cf. Hirsch, op. cit., p. 126 ss). Cela étant, pour inter­pré­ter la LPD, il convient de bien tenir compte de la volonté du légis­la­teur suisse, lequel a parfois voulu se distan­cer du RGPD (pour l’influence du droit de l’UE dans l’interprétation de la LPD, cf. Hirsch, op. cit., p. 130 ss).