Annonce des violations de la sécurité des données personnelles
A teneur de l’article 30a LIPDA, le Responsable du traitement doit annoncer immédiatement au Préposé cantonal à la protection des données et à la transparence les cas de violation de la sécurité des données personnelles susceptibles de porter gravement atteinte aux droits et libertés fondamentales de la personne concernée.
Pour ce faire, notre autorité a décidé de mettre à disposition une plateforme pour la communication de ces données, ce afin de sécuriser celles-ci. La communication par courriels non chiffrés violerait en effet la LIPDA, de sorte que l’utilisation de la plateforme est requise.
L’annonce doit à tout le moins indiquer la nature de la violation de la sécurité des données personnelles, ses conséquences et les mesures prises ou envisagées pour remédier à la situation.
Qui plus est, la loi précise que le sous-traitant doit annoncer immédiatement au responsable du traitement tout cas de violation de la sécurité des données personnelles.
Par ailleurs, la ou les personne(s) concernée(s) doit(vent) être immédiatement informée(s) lorsque cela est nécessaire à sa ou leur protection.
Il est finalement possible pour le responsable du traitement de restreindre l’information de la personne concernée, de la différer ou d’y renoncer, dans les cas suivants :
- un intérêt public prépondérant, en particulier la sûreté intérieure ou extérieure de l'Etat, l’exige ou si l’annonce est susceptible de compromettre une enquête, une instruction ou une procédure judiciaire ou administrative ;
- le devoir d’informer est impossible à respecter ou nécessite des efforts disproportionnés ;
- l’information de la personne concernée peut être garantie de manière équivalente par une communication publique ;
- les intérêts prépondérants d’un tiers l’exigent.