4. LES RÈGLES DU DROIT EUROPÉEN EN MATIÈRE DE PROTECTION DES DONNÉES
4.2. Règles relatives à la sécurité du traitement
Points clés
• Les règles relatives à la sécurité du traitement impliquent une obligation pour le res-ponsable du traitement et le sous-traitant de prendre des mesures techniques et orga-nisationnelles appropriées pour empêcher toute ingérence non autorisée dans des traitements de données.
• Le niveau de sécurité des données nécessaire est déterminé par :
• les caractéristiques de sécurité existant sur le marché pour tout type particulier de traitement ;
• les coûts ; et
• la nature sensible ou non des données traitées.
• Le traitement de données en toute sécurité est également garanti par l’obligation générale imposée à tous, responsables du traitement ou sous-traitants, de veiller à préserver la confidentialité des données.
L’obligation des responsables du traitement et des sous-traitants de mettre en place des mesures adéquates garantissant la sécurité des données est donc énoncée dans le droit du CdE en matière de protection des données et dans le droit de l’UE en matière de protection des données.
4.2.1. Éléments de la sécurité des données
Conformément aux dispositions pertinentes du droit de l’UE :
« Les États membres prévoient que le responsable du traitement doit mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite151 ».
151 Directive relative à la protection des données, art. 17, para. 1.
Il existe une disposition similaire dans le droit du CdE :
« Des mesures de sécurité appropriées sont prises pour la protection des données à caractère personnel enregistrées dans des fichiers automatisés contre la destruction accidentelle ou non autorisée, ou la perte accidentelle, ainsi que contre l’accès, la modification ou la diffusion non autorisés152 ».
Il existe aussi souvent des normes industrielles, nationales et internationales qui ont été développées pour la sécurité du traitement de données. Le label européen de protection de la vie privée (EuroPriSe), par exemple, est un projet eTEN (réseaux transeuropéens de télécommunications) de l’UE qui a étudié les possibilités de certi-fication de produits, en particulier de logiciels, comme conformes au droit européen en matière de protection des données. L’Agence européenne pour la sécurité des réseaux et de l’information (ENISA) a été créée pour améliorer la capacité de l’UE, des États membres de l’UE et de la communauté professionnelle à prévenir, traiter et répondre aux problèmes de sécurité des réseaux et de l’information153. L’ENISA publie régulièrement des analyses de menaces de sécurité et des conseils sur la façon d’y répondre.
La sécurité des données n’est pas obtenue simplement par la mise en place du bon équipement (matériel et logiciel). Elle requiert également des règles organisation-nelles internes appropriées, qui idéalement, doivent couvrir les points suivants :
• information régulière de tous les salariés sur les règles relatives à la sécurité des données et sur leurs obligations en vertu du droit en matière de protection des données, en particulier leurs obligations de confidentialité ;
• répartition claire des responsabilités et définition claire des compétences en matière de traitement des données, en particulier concernant les décisions de traitement de données à caractère personnel et de transfert de données à des tiers ;
• utilisation de données à caractère personnel selon les instructions de la per-sonne compétente ou selon des règles générales définies ;
152 Convention 108, art. 7.
153 Règlement (CE) n °460/2004 du Parlement européen et du Conseil du 10 mars 2004 instituant l’Agence européenne chargée de la sécurité des réseaux et de l’information, JO 2004 L 77.
• protection de l’accès aux sites, au matériel et aux logiciels du responsable du traitement ou du sous-traitant, y compris contrôle des autorisations d’accès ;
• garantie de ce que les autorisations d’accès à des données à caractère personnel ont été délivrées par la personne compétente et requièrent une documentation en bonne et due forme ;
• protocoles automatisés en matière d’accès à des données à caractère personnel par des moyens électroniques et des contrôles réguliers de ces protocoles par le bureau de contrôle interne ;
• documentation consciencieuse pour d’autres formes de diffusion que l’accès automatisé aux données afin de pouvoir démontrer l’absence de toute transmis-sion illégale de données.
Offrir aux membres du personnel une formation et un enseignement adéquats en matière de sécurité des données est également un aspect important des pré-cautions efficaces en matière de sécurité. Des procédures de vérification doivent également être en place pour garantir que des mesures appropriées existent non seulement sur le papier, mais sont également mises en œuvre et fonctionnent en pratique (notamment audits internes et externes).
Des mesures visant à améliorer le niveau de sécurité d’un responsable du traitement ou d’un soustraitant incluent des instruments tels que des délégués à la protection des données à caractère personnel, une formation des salariés à la sécurité, des audits réguliers, des tests de pénétration et des labels de qualité.
Exemple : dans l’affaire I. c. Finlande154, la requérante n’avait pas été en mesure de prouver que son dossier médical avait fait l’objet d’un accès illégitime par des salariés de l’hôpital dans lequel elle travaillait. Son allégation de violation du droit à la protection de ses données avait donc été rejetée par les juridic-tions nationales. La CouEDH a conclu à une violation de l’article 8 de la CEDH car le système des dossiers médicaux de l’hôpital était tel qu’il n’était pas pos-sible de vérifier rétroactivement l’utilisation des dossiers des patients, parce qu’il ne révélait que les cinq consultations les plus récentes et parce que cette information était supprimée une fois le dossier replacé dans les archives. Pour la CouEDH, la non-conformité du système d’archivage et de consultation des
154 CouEDH, I. c. Finlande, n° 20511/03, 17 juillet 2008.
dossiers au sein de l’hôpital avec les exigences légales du droit national était un élément déterminant auquel les juridictions nationales n’avaient pas accordé suffisamment de poids.
Notification de violation de données
Un nouvel instrument pour répondre aux violations de la sécurité des données a été introduit dans le droit en matière de protection des données de plusieurs pays européens : l’obligation pour les prestataires de services de communications élec-troniques de notifier les violations de données aux victimes potentielles et aux auto-rités de contrôle. Pour les prestataires de services de télécommunications, le droit de l’UE en fait une obligation155. La finalité des notifications de violation de données aux personnes concernées est d’éviter un préjudice : la notification de violations de don-nées et de leurs conséquences possibles minimise le risque d’effets négatifs sur les personnes concernées. En cas de négligence grave, les prestataires peuvent aussi être verbalisés.
Il sera nécessaire de mettre en place des procédures internes, à l’avance, pour la gestion efficace et le signalement de violations de sécurité, dans la mesure où, selon la législation nationale, le calendrier de l’obligation de signalement aux personnes concernées et/ou à l’autorité de contrôle est généralement plutôt limité.
4.2.2. Confidentialité
Dans le droit de l’UE, le traitement de données en toute sécurité est également garanti par l’obligation générale imposée à tous, responsables du traitement ou sous-traitants, de veiller à préserver la confidentialité des données.
155 Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), JO 2002 L 201, art. 4, para. 3, tel que modifié par la directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques ; voir également directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et règlement (CE) n° 2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs, JO 2009 L 337.
Exemple : un salarié d’une compagnie d’assurance reçoit un appel téléphonique sur son lieu de travail de la part d’une personne qui se présente comme un client et demande des informations sur son contrat d’assurance.
L’obligation de préserver la confidentialité des données des clients impose au salarié d’appliquer des mesures de sécurité minimales avant de divulguer des données à caractère personnel. Ceci pourrait être fait, par exemple, en propo-sant de rappeler à un numéro de téléphone figurant dans le dossier du client.
L’article 16 de la directive relative à la protection des données concerne uniquement la confidentialité dans le cadre d’une relation entre le responsable du traitement et le sous-traitant. La question de savoir si des responsables de traitement doivent pré-server la confidentialité des données, au sens qu’ils ne peuvent pas les divulguer à des tiers, est traitée dans les articles 7 et 8 de la directive.
L’obligation de confidentialité ne s’étend pas aux situations dans lesquelles des données sont portées à la connaissance d’une personne en sa qualité de particu-lier, et non de salarié d’un responsable du traitement ou d’un sous-traitant. Dans ce cas, l’article 16 de la directive relative à la protection des données ne s’ap-plique pas puisque, en réalité, l’utilisation de données à caractère personnel par des particuliers n’entre absolument pas dans le cadre de la directive dès lors que cette utilisation relève du champ d’application de l’« exemption domestique156 ».
L’exemption domestique est l’utilisation de données à caractère personnel « par une personne physique dans le cadre d’une activité purement personnelle ou domestique157 ». Depuis la décision de la CJUE dans l’affaire Bodil Lindqvist158, cette exemption doit toutefois être interprétée de façon restreinte, en particulier à l’égard de la diffusion de données. L’exemption domestique ne s’étend notam-ment pas à la publication de données à caractère personnel à un nombre illimité de destinataires sur Internet (pour plus d’informations sur l’affaire, se reporter aux Sections 2.1.2, 2.2, 2.3.1 et 6.1).
Dans le droit du CdE, l’obligation de confidentialité est sous-entendue dans la notion de sécurité des données figurant à l’article 7 de la Convention 108, consacré à la sécurité des données.
156 Directive relative à la protection des données, art. 3, para. 2, deuxième tiret.
157 Ibid.
158 CJUE, C-101/01, Bodil Lindqvist, 6 novembre 2003.
Pour les sous-traitants, la confidentialité signifie qu’ils ne peuvent utiliser les don-nées à caractère personnel qui leur sont confiées par le responsable du traitement que dans la mesure où ils respectent les instructions de ce dernier. Pour les salariés d’un responsable du traitement ou d’un sous-traitant, la confidentialité requiert qu’ils n’utilisent des données à caractère personnel que selon les instructions de leurs supérieurs compétents.
L’obligation de confidentialité doit figurer dans tout contrat conclu entre des respon-sables du traitement et leurs sous-traitants. En outre, les responrespon-sables du traitement et les sous-traitants devront prendre des mesures spécifiques pour imposer à leurs salariés une obligation légale de confidentialité, habituellement obtenue par l’inser-tion de clauses de confidentialité dans le contrat de travail du salarié.
Le non-respect d’obligations professionnelles de confidentialité est puni par le droit pénal de nombreux États membres de l’UE et États contractants de la Convention 108.