Violations de données? Attaques de pirates informatiques? Mais ces choses-là n’arrivent qu’aux très grandes entreprises, à la ABB récemment, et il y a un peu plus longtemps, à CH Media. Ceux qui pensent ainsi ne voient pas assez loin. En effet, il y a toujours violation de la sécurité des données lorsque «des données personnelles sont perdues, effacées, détruites ou modifiées de manière accidentelle ou illicite, ou sont divulguées ou rendues accessibles à des personnes non autorisées». Dès que la confidentialité, l’intégrité ou la disponibilité de données personnelles sont compromises, il y a en principe violation de la sécurité des données.

Tout cela peut arriver rapidement: qui n’a jamais envoyé par erreur un e-mail à un mauvais groupe de destinataires, égaré une clé USB, supprimé définitivement par mégarde une conversation par e-mail? Tous ces cas constituent par définition des incidents de protection des données, même si ce ne sont pas nécessairement des incidents qui doivent être signalés au préposé fédéral à la protection des données (PFPDT): en cas d’incident de protection des données, il faut réfléchir en premier lieu aux conséquences potentielles de la perte de données pour les personnes concernées: les droits de la personnalité ou les droits fondamentaux sont-ils touchés? L’avocat Roman Böhni est spécialisé dans le droit de la protection des données. Son conseil: «Dans un tel moment, il est important de réagir honnêtement et rapidement, mais de manière réfléchie: si l’on constate que le risque pour une personne concernée est élevé, l’incident doit être signalé le plus rapidement possible au PFPDT. Il faut également informer la personne concernée, si cela est nécessaire pour sa protection».

Dans quel délai la déclaration doit-elle être effectuée?
La loi suisse ne prévoit pas de chiffre exact, mais dit «le plus rapidement possible». Dans l’UE, le délai s’appliquant à la notification des incidents de protection des données est de 72 heures. Roman Böhni déclare à ce propos: «Bien sûr, les 72 heures en vigueur dans l’UE sont également valables en Suisse. Il est important de commencer l’analyse immédiatement après avoir pris connaissance d’un incident et de ne pas perdre un temps précieux. En fonction de l’incident, l’analyse, l’évaluation et la mise en œuvre d’éventuelles mesures peuvent être complexes et très longues. Dans certains cas, il peut être nécessaire de faire appel à un soutien externe. Le temps passe alors à toute vitesse.» Dans des cas aussi complexes (p.ex. attaques de pirates informatiques), il est recommandé de faire le plus rapidement possible une première déclaration au PFPDT et de compléter régulièrement cette déclaration initiale en fonction de l’évolution des connaissances. Comme nous l’avons déjà dit, la personne concernée doit également être informée si cela s’avère nécessaire pour sa propre protection, par exemple, si des mots de passe ont été dérobés. Le contenu minimal de chaque déclaration est déterminé par la loi.

Comme pour tous les risques, il est judicieux de se préparer au mieux à un incident de sécurité des données. Roman Böhni déclare: «En cas de crise, tout ce dont on dispose déjà peut être utile: enregistrements, réflexions, plans, listes de contrôle, processus, personnes de contact et, bien sûr, l’expérience. En ce qui concerne la nLPD, il s’agit avant tout de définir au préalable le processus et les personnes à contacter. Un incident de sécurité des données devient vite extrêmement difficile et stressant pour toutes les personnes impliquées. Il est alors utile de pouvoir se référer à des réflexions qui ont déjà été faites et à des procédures prédéfinies.»

Il est difficile de savoir si le secteur médical connaît un nombre de violations de données supérieur ou inférieur à la moyenne. Des statistiques américaines comme celles d’Ekran suggèrent qu’en termes d’incidents de sécurité des données, le vaste secteur médical arrive en deuxième position, juste après l’administration publique.

La Fédération des médecins suisses a publié une liste de contrôle avec le déroulement du processus correspondant:

www.fmh.ch/files/pdf29/liste-de-controle-et-deroulement-de-la-procedure-en-cas-de-violation-de-la-pr.pdf