Perte de données personnelles : quelles sont les solutions juridiques ?

Selon la Commission Nationale de l'Informatique et des Libertés (CNIL), une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Si l'information en cause concerne une personne morale (entreprise, association, etc.), elle ne sera pas qualifiée de donnée personnelle.

Une donnée personnelle est avant tout une "information", quel qu'en soit l'origine, le support ou la voie de transmission (physique ou numérique). Classiquement, on distingue deux catégories de données personnelles : 

• Celles qui permettent d'identifier directement une personne physique (nom, prénom)
• Celles qui permettent d'identifier indirectement une personne physique (une adresse postale, une date de naissance, un abonnement à tel ou tel magazine, un email, un numéro de sécurité sociale...)

Concrètement, il s'agit d'un élément phare de la vie privée. Au regard de l'importance de telles données et de leur caractère "personnel", une réglementation était nécessaire pour lutter contre les abus de traitement et de collecte de données.

Le traitement des données sur le territoire de l'Union européenne est strictement réglementée par le Règlement Général sur la Protection des données (RGPD). Ce règlement européen du 27 avril 2016, entré en application le 25 mai 2018, s'inscrit dans la continuité de la foi française Informatique en Libertés en 1978. Le RGPD, établissement des règles sur la collecte et l'utilisation des données, vise à renforcer le droit des citoyens quant à l'utilisation qui peut être faire des données les concernant ainsi qu'à responsabiliser les acteurs traitant des données.

Désormais dans l'ère du numérique et de la digitalisation, les données personnelles circulent en masse entre les différentes entités, qu'elles soient privées ou publiques. A ce titre, le RGPD fait peser sur les entreprises des obligations destinées à protéger la vie privée et les libertés individuelles des citoyens dont les données sont collectées. Par exemple, les entreprises sont soumises aux obligations suivantes : 

• Obligation générale de sécurité et de confidentialité : des mesures de sécurité des locaux et des systèmes d'information doivent être mises en place par le responsable du traitement des données afin d'empêcher que les fichiers contenants lesdites données soient volés, déformés ou endommagés.
• Obligation d'information : à chaque collecte de données personnelles, l'entreprise doit informer la personne de la finalité du traitement, du fondement juridique, de l'identité du responsable du fichier, la durée de conservation des données, etc.

A cela s'ajouter la réalisation d'analyse d'impact dès lors que le traitement de données présente un risque pour les droits des personnes, la désignation d'un délégué à la protection des données (DPO) et le tenue d'un registre des traitements des données.

Malgré une réglementation stricte, les fuites de données sont encore nombreuses. En effet, les cyberattaques ne cesses d'augmenter, et ce dans tous les secteurs (hospitalier, automobile...).

La perte de données constitue une "violation de données" au sens du RGPD. En effet, on entend par violation de données personnelles une violation de la sécurité entraînant, de manière accidentelle ou illicite, les destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données. La perte renvoie à l'hypothèse selon laquelle les données pourraient toujours exister, mais le responsable du traitement a perdu tout contrôle ou tout accès à ces données, ou qu'il ne les plus en sa possession. L'origine de la fuite peut être accidentelle ou malveillante.

Les obligations du responsable du traitement varient selon le risque soulevé par les violations. En cas de violation entraînant un risque élevé pour les droits et libertés des personnes concernées, l'entreprise aura l'obligation de la notifier la CNIL dans un délai maximal de 72 heures après en avoir prix connaissance.

La victime n'est pas passive et peut agir pour défendre ses droits : 

• Recours devant la CNIL

Lorsqu'une personne est informée d'une violation de ses données personnelles, celle-ci peut entamer plusieurs démarches. Elle doit en priorité signaler les pages et comptes divulguant ses informations personnelles auprès des plateformes concernées afin d'en demander la suppression. Des formulaires de demande de suppression données personnelles sont proposées par les moteurs de recherche pour que les données litigieuses n'y soient plus référencées. Si les données visées par la demande n'ont pas été supprimées dans un délai d'un mois, il est possible d'adresser une réclamation en ligne à la CNIL.

• Plainte pénale

Les données personnelles divulguées peuvent être récupérées par des escrocs. En cas d'utilisation frauduleuses des données ayant fuitées, la victime peut déposer plainte auprès du commissariat de police ou à la brigade de gendarmerie la plus proche de son domicile.

Par exemple, l'escroquerie, visée par l'article 313-1 du Code pénal, est passible d'une peine d'emprisonnement de cinq ans d'emprisonnement et de 375 000 euros d'amende.

• Action de groupe

Si une personne est alertée d'une perte de données la concernant, elle peut, sous certaines conditions, participer à une action de groupe, appelée recours collectif. Une action permet d'obtenir l'arrêt de la violation des données concernées, ainsi que la réparation du préjudice subi si les faits se sont produits après le 24 mai 2018. La victime doit alors contacter une association agréée ou certains syndicats.

Il est conseillé de faire appel à un avocat spécialisé, qui est habitué à ce type de procédure. Il saura mettre en place la meilleure stratégie juridique pour débloquer les fonds le plus rapidement possible.