Une erreur d’envoi peut être le résultat d’une inattention ou d’un bug informatique. Dans tous les cas, une erreur d’envoi peut conduire à une violation de données personnelles, notamment lorsque le message contient des données confidentielles. Que faire dans un tel cas, notamment pour respecter les obligations liées au RGPD ? Nous détaillons ci-dessous les directives officielles du Comité européen de la protection des données.
Le texte ci-dessous constitue la traduction en français des lignes directrices publiées par le Comité européen de la protection des données (CEPD) en cas de violation de données personnelles.
1. CAS n° 01: Erreur d’envoi de courrier postal
Deux commandes de chaussures ont été emballées par une société de vente au détail. À la suite d’une erreur humaine, deux bordereaux d’expédition ont été mélangés, de sorte que les deux produits et les bordereaux correspondants ont été envoyés à la mauvaise personne. Cela signifie que les deux clients ont reçu la commande de l’autre, y compris les bordereaux d’expédition contenant les données à caractère personnel. Après avoir pris connaissance de la violation, le responsable du traitement des données a rappelé les commandes et les a envoyées aux bons destinataires.
A. Mesures préalables et évaluation des risques
Les factures contenaient les données personnelles requises pour une livraison réussie (nom, adresse, ainsi que l’article acheté et son prix). Il est important d’identifier comment l’erreur humaine a pu se produire en premier lieu, et si d’une manière ou d’une autre, elle aurait pu être évitée. Dans le cas particulier décrit, le risque est faible, étant donné qu’aucune catégorie spéciale de données à caractère personnel ou d’autres données dont l’utilisation abusive pourrait entraîner des effets négatifs substantiels n’était concernée, que la violation ne résulte pas d’une erreur systémique de la part du responsable du traitement et que seules deux personnes sont concernées. Aucun effet négatif sur les personnes n’a pu être identifié.
B. Atténuation et obligations
Le responsable du traitement doit prévoir le renvoi gratuit des articles et des factures qui les accompagnent, et il doit également demander aux mauvais destinataires de détruire/supprimer toutes les copies éventuelles des factures contenant les données personnelles de l’autre personne.
Même si la violation elle-même ne présente pas un risque élevé pour les droits et libertés des personnes concernées, et que la communication aux personnes concernées n’est donc pas obligatoire en vertu de l’article 34 du RGPD, la communication de la violation aux personnes concernées ne peut être évitée, car leur coopération est nécessaire pour atténuer le risque.
2. CAS n° 02: Erreur d’envoi de données personnelles hautement confidentielles envoyées par courrier.
Le service de l’emploi d’une administration publique a envoyé un message électronique – concernant des formations à venir – aux personnes enregistrées dans son système en tant que demandeurs d’emploi. Par erreur, un document contenant toutes les données personnelles de ces demandeurs d’emploi (nom, adresse électronique, adresse postale, numéro de sécurité sociale) a été joint à cet e-mail. Le nombre de personnes concernées est supérieur à 60 000. Par la suite, le bureau a contacté tous les destinataires et leur a demandé de supprimer le message précédent et de ne pas utiliser les informations qu’il contenait.
A. Mesures préalables et évaluation des risques
Des règles plus strictes auraient dû être mises en place pour l’envoi de tels messages. L’introduction de mécanismes de contrôle supplémentaires doit être envisagée.
Le nombre de personnes concernées est considérable, et l’utilisation de leur numéro de sécurité sociale, ainsi que d’autres données personnelles plus fondamentales, augmente encore le risque, qui peut être considéré comme élevé[1]. La distribution éventuelle des données par l’un des destinataires ne peut être contenue par le responsable du traitement.
[1] Pour des orientations sur les opérations de traitement « susceptibles d’entraîner un risque élevé« , voir la note de bas de page 1 ci-dessus.
B. Atténuation et obligations
Comme indiqué précédemment, les moyens de limiter efficacement les risques d’une violation similaire sont limités. Bien que le responsable du traitement ait demandé la suppression du message, il ne peut pas obliger les destinataires à le faire et, par conséquent, il ne peut pas non plus être certain qu’ils se conforment à cette demande.
L’exécution des trois actions indiquées ci-dessous devrait être évidente dans un cas comme celui-ci.
3. CAS n° 03: Erreur d’envoi de données personnelles envoyées par courrier.
Une liste de participants à un cours d’anglais juridique qui se déroule dans un hôtel pendant 5 jours est envoyée par erreur aux 15 participants du cours au lieu de l’hôtel. La liste contient les noms, les adresses e-mail et les préférences alimentaires des 15 participants. Seuls deux participants ont indiqué leurs préférences alimentaires, précisant qu’ils sont intolérants au lactose. Aucun des participants ne bénéficie d’une identité protégée. Le responsable du traitement découvre l’erreur immédiatement après l’envoi de la liste, en informe les destinataires et leur demande de supprimer la liste.
A. Mesures préalables et évaluation des risques
Des règles strictes auraient dû être mises en œuvre pour l’envoi de messages contenant des données personnelles. L’introduction de mécanismes de contrôle supplémentaires doit être envisagée.
Les risques découlant de la nature, de la sensibilité, du volume et du contexte des données à caractère personnel sont faibles. Les données personnelles comprennent des données sensibles sur les préférences alimentaires de deux des participants. Même si l’information selon laquelle une personne est intolérante au lactose est une donnée de santé, le risque que cette donnée soit utilisée de manière préjudiciable doit être considéré comme relativement faible. Si, dans le cas de données relatives à la santé, on suppose généralement que la violation est susceptible d’entraîner un risque élevé pour la personne concernée[1], dans le cas présent, on ne peut identifier aucun risque que la violation entraîne des dommages physiques, matériels ou immatériels pour la personne concernée en raison de la divulgation non autorisée d’informations relatives à l’intolérance au Contrairement à d’autres préférences alimentaires, l’intolérance au lactose ne peut normalement pas être liée à des croyances religieuses ou philosophiques. La quantité de données violées et le nombre de personnes concernées sont également très faibles.
[1] Voir les lignes directrices WP 250, p.23.
B. Atténuation et obligations
En résumé, on peut affirmer que la violation n’a pas eu d’effet significatif sur les personnes concernées. Le fait que le responsable du traitement ait immédiatement contacté les destinataires après s’être rendu compte de l’erreur peut être considéré comme une circonstance atténuante.
Si un courrier électronique est envoyé à un destinataire incorrect/non autorisé, il est recommandé que le responsable du traitement des données envoie un courrier électronique de suivi aux destinataires involontaires en leur présentant ses excuses, en leur demandant de supprimer le courrier électronique fautif et en les informant qu’ils n’ont pas le droit d’utiliser les adresses électroniques qui leur sont identifiées.
En raison de ces faits, cette violation de données n’était pas susceptible d’entraîner un risque pour les droits et libertés des personnes concernées, de sorte qu’aucune notification à l’AC ou aux personnes concernées n’était nécessaire. Cependant, cette violation de données doit également être documentée conformément à l’article 33(5).
4. CAS n° 04: Erreur d’envoi de courrier postal
Un groupe d’assurance propose des assurances automobiles. Pour ce faire, il envoie par courrier postal des polices de cotisation régulièrement adaptées. Outre le nom et l’adresse du preneur d’assurance, la lettre contient le numéro d’immatriculation du véhicule sans chiffres masqués, les taux d’assurance de l’année d’assurance en cours et de la suivante, le kilométrage annuel approximatif et la date de naissance du preneur d’assurance. Les données de santé selon l’article 9 du RGPD, les données de paiement (coordonnées bancaires), les données économiques et financières ne sont pas incluses.
Les lettres sont emballées par des machines de mise sous pli automatisées. En raison d’une erreur mécanique, deux lettres destinées à des assurés différents sont insérées dans une enveloppe et envoyées à un assuré par la poste. L’assuré ouvre la lettre chez lui et prend connaissance de sa lettre correctement distribuée ainsi que de la lettre incorrectement distribuée d’un autre assuré.
A. Mesures préalables et évaluation des risques
La lettre remise par erreur contient le nom, l’adresse, la date de naissance, le numéro d’immatriculation du véhicule non masqué et la classification du taux d’assurance de l’année en cours et de l’année suivante. Les effets sur la personne concernée sont à considérer comme moyens, puisque des informations non accessibles au public telles que la date de naissance ou les numéros non masqués d’immatriculation des véhicules, ainsi que des détails sur l’augmentation des taux d’assurance sont divulgués au destinataire non autorisé. La probabilité d’une utilisation abusive de ces données est évaluée comme étant faible à moyenne. Toutefois, si de nombreux destinataires jetteront probablement la lettre reçue à tort à la poubelle, il ne peut être totalement exclu, dans certains cas, que la lettre soit publiée sur les réseaux sociaux ou que l’assuré soit contacté.
B. Atténuation et obligations
Le responsable de traitement doit se faire renvoyer le document original à ses frais. Le mauvais destinataire doit également être informé qu’il ne doit pas faire un mauvais usage des informations lues.
Il ne sera probablement jamais possible d’empêcher complètement une erreur de distribution postale dans un envoi de masse utilisant des machines entièrement automatisées. Toutefois, en cas de fréquence accrue, il est nécessaire de vérifier si les machines de mise sous pli sont réglées et entretenues de manière suffisamment correcte, ou si un autre problème systémique est à l’origine d’une telle erreur.
5. Mesures organisationnelles et techniques pour prévenir/atténuer les impacts des erreurs postales.
Une combinaison des mesures mentionnées ci-dessous – appliquées en fonction des caractéristiques uniques de l’affaire – devrait contribuer à réduire le risque qu’une violation similaire se reproduise.
Mesures conseillées :
(La liste des mesures suivantes n’est en aucun cas exclusive ou exhaustive. L’objectif est plutôt de fournir des idées de prévention et des solutions possibles. Chaque activité de traitement étant différente, c’est au responsable du traitement qu’il appartient de décider des mesures les plus adaptées à la situation donnée. )
- Fixer des normes exactes – sans marge d’interprétation – pour l’envoi de lettres / courriels.
- Formation adéquate du personnel sur la façon d’envoyer des lettres / e-mails.
- Lorsque des messages électroniques sont envoyés à plusieurs destinataires, où ceux-ci figurent par défaut dans le champ « bcc ».
- Une confirmation supplémentaire est requise lors de l’envoi de messages électroniques à plusieurs destinataires, où ceux-ci ne figurent pas dans le champ « bcc ».
- Application du principe des quatre yeux.
- Adressage automatique plutôt que manuel, avec des données extraites d’une base de données disponible et à jour ; le système d’adressage automatique doit être régulièrement contrôlé pour vérifier l’absence d’erreurs cachées et de réglages
- Application d’un délai pour le message (par exemple, le message peut être supprimé / modifié dans un certain délai après avoir cliqué sur le bouton).
- Désactivation de l’auto-complétion lors de la saisie d’adresses électroniques.
- Sessions de sensibilisation sur les erreurs les plus courantes menant à une violation des données personnelles.
- Sessions de formation et manuels sur la manière de gérer les incidents conduisant à une violation des données personnelles et sur les personnes à informer (impliquer le DPO).
Vous pouvez demander un devis gratuit pour connaître le montant de nos prestations.
