Le droit fédéral allemand a introduit l’obligation de notification des « data breach » en Juillet 2009.
La réglementation fédérale allemande est relativement détaillée et complexe. L’autorité des données personnelles de Berlin a publié une foire aux questions sur la loi fédérale. En voici les grandes lignes.
Il est à noter que des mesure spécifiques vont être introduites en droit allemand pour les violations dans le cadre de fournitures de services de communications en application de la directive 2002/58/CE du 12 juillet 2002 relative au traitement des données personnelles et aux communications électroniques (telle que modifiée). Par ailleurs il existe des dispositions au niveau de certains « Lands » allemands et notamment celui de Berlin.
Qui doit notifier ?
• Toute personne physique ou morale de droit privé
• Toutes les entreprises de droit public ayant une activité commerciale
Cette notification incombe au responsable de traitement mais pas au sous-traitant (il faut donc adapter le contrat entre sous-traitant et responsable de traitement afin que ce dernier soit en mesure de respecter ses obligations).
Quelles données sont concernées ?
La notification n’est requise que si les données suivantes sont concernées :
• Les données sensibles (en particulier les données médicales et d’assurance médicale)
• Les données protégées par le secret professionnel (banque, avocat, personnel médical, assurance…)
• Les infractions pénales ou administratives (jugées ou potentielles)
• Les données bancaires (compte bancaire, carte de crédit, transactions…)
Il s’agit sous réserve de certaines exceptions de données stockées chez le responsable de traitement et non chez la personne concernée (ex : code PIN).
Accès illégal d’un tiers aux données
La notification est requise si un tiers non autorisé a eu ou peut avoir accès aux données.
• En raison d’un transfert, d’une divulgation, ou d’un accès non autorisé/illicite
• Il suffit que l’accès soit raisonnablement probable au vue des circonstances (appréciation / responsabilité du responsable de traitement)
• Même si l’accès n’a pu se produire que pour une durée limitée
• Cela Inclut :
– La publication sur internet
– La perte de données (par ex. la perte d’un ordinateur portable non sécurisé étant précisé qu’une protection par login ne suffit pas)
– Le vol de données / l’intrusion
– L’accès ou le transfert par le personnel de l’entreprise à des adresses personnelles
Risques d’atteinte grave aux droits et intérêts
Il y a obligation de notification s’il y a des risques d’atteinte grave aux droits ou aux intérêts légitimes de la (ou des) personne(s) concernée(s).
Il faut évaluer les conséquences possibles de l’accès par le tiers pour la personne concernée.
• Dérouler les scénarios possibles et envisager toutes les utilisations en tenant aussi compte des circonstances de l’accès et des compétences / connaissances que le tiers peut posséder par ailleurs.
• Il n’y a pas à prendre en compte si la personne concernée à des recours juridiques possible contre le tiers. L’objectif est d’informer la personne concernée des risques afin qu’elle puisse prendre des précautions et s’adapter à la situation.
• Il faut notifier même si la probabilité de réalisation du risque est faible.
• Les conséquences peuvent être de nature matérielle ou immatérielle.
Il est important de documenter cette phase pour pouvoir justifier de la position prise.
Quand faut-il notifier les autorités ?
• « Sans délai » à savoir sans retard « indu ».
Cela sous entend un délai permettant au responsable de traitement d’effectuer l’évaluation de la situation (en fonction de sa complexité).
Le délai est à compter de la connaissance de l’incident par le responsable de traitement et il ne devrait en principe pas dépasser deux semaines.
Deux éléments peuvent retarder la notification (la notification se fait immédiatement après leur résolution) :
1. La prise de mesures pour sécuriser les données
– C’est une priorité
– A faire avant de rendre publique une faille dont d’autres pourraient abuser.
Exemple : s’il s’agit d’une faille informatique il faut d’abord contacter le fournisseur afin qu’il y remédie. Mais s’il ne réagit pas, il faut le notifier sans délai.
2. Eviter d’obstruer une procédure pénale en divulguant prématurément. Prendre conseil sur ce point.
Dans les deux cas, il faut conserver les correspondances justifiant les circonstances.
Que faut-il dire aux Autorités ?
Il faut préciser (ou confirmer) par écrit les points suivants :
• La date à laquelle les données ont été perdues et celle à laquelle cela a été découvert par le responsable de traitement.
• Les données concernées et l’accès illégal de tiers (en détail et argumenter notamment sur l’accès probable).
• Les atteintes possibles pour les personnes concernées (scénarios possibles, probabilité de réalisation et conséquences). A la fois pour
les personnes concernées mais aussi, le cas échéant, les conséquences à plus long terme sur la sécurité du système informatique.
• Les mesures prises par le responsable de traitement de façon à permettre aux autorités de vérifier si la faille à été corrigée et le risque éliminé pour l’avenir (par ex. changement de tous les mots de passe et systèmes d’accès d’ordinateurs portables volés ou perdus).
• Est-ce que les personnes concernées ont déjà été informées et quels conseils ont été donnés ? A défaut, expliquer pourquoi.
Que faut-il dire aux personnes concernées ?
• La nature de l’accès illicite, les catégories de données concernées et les risque d’usage abusifs
• Les mesures recommandées pour limiter ou éviter les atteintes (sous forme de recommandations concrètes)
• Eventuellement des moyens complémentaires d’information (par ex. hotline)
L’objectif est de rendre transparent et compréhensible ce qui s’est passé et le danger dans des termes adaptés au public concerné.
La loi ne requiert aucune forme particulière.
En principe, l’information doit être individuelle.
Le responsable doit être en mesure de prouver qu’il a notifié les personnes concernées (par email, courrier ordinaire, lettre recommandée, etc.) selon le mode le plus adapté à chaque cas. Il pourrait être important de prouver la bonne réception de la notification.
Si l’effort pour notifier les individus est disproportionné (par ex en raison du nombre de personnes ou de l’absence d’adresse), l‘information individuelle doit sans attendre être remplacée par l’information publique, à savoir :
• Sous forme d’une publication d’au moins une demie page, dans au moins deux quotidiens nationaux, ou
• d’autres formes, sous réserve qu’elles aient une efficacité équivalente compte tenu de l’identité des personnes concernées.
Quelles sanctions ?
Le défaut de notification ou notification erronée, incomplète ou tardive, fautive ou intentionnelle est sanctionné par une amende pouvant aller jusqu’à 300 000 Euros.
Quelles conséquences pour le responsable de traitement ?
Le responsable de traitement doit s’organiser en conséquence. Cela suppose notamment la mise en place d’un système d’alerte interne et d’identifier les personnes devant être informées des incidents et responsables d’analyser la situation.
• L’intégration d‘une procédure dans le système de sécurité informatique et l’identification d’une personne capable d’évaluer si un incident relève de cette procédure.
• L’équivalent allemand du CIL peut être l’interlocuteur désigné mais ce n’est pas une obligation. Il doit en tout état de cause être impliqué pleinement dans le processus d’analyse.
• Toute analyse doit être documentée (et particulièrement s’il est conclu qu’aucune notification n’est à faire)
• Il faut faire des formations internes.
__________________________________________________________
Une traduction anglaise de la loi allemande et plus particulièrement l’article 42a du BDSG se trouve sur le lien suivant
www.bfdi.bund.de/cae/servlet/contentblob/1086936/publicationFile/87568/BDSG_idFv01092009.pdf
La FAQ de l’autorité de Berlin sur la loi fédérale peut se trouver sur le lien suivant:
www.datenschutz-berlin.de/attachments/732/535_4_2.pdf?1293009681