Non, une entreprise n’est pas nécessairement sanctionnée en cas de perte de données.

Pour qu’une entreprise soit sanctionnée, il faut que la CNIL[1] démontre que les données perdues (ou volées) sont des données à caractère personnel et que l’entreprise n’a pas pris les mesures adaptées pour les sécuriser.

Le RGPD[2] demande, en effet, aux entreprises qui collectent et traitent des données à caractère personnel de « mettre en œuvre les mesures techniques et organisationnelles appropriées ». Le texte ne précise cependant pas quelles sont les mesures à mettre en place. Il se contente d’indiquer que les mesures doivent dépendre du traitement effectué et des risques.

« Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :
a) la pseudonymisation et le chiffrement des données à caractère personnel ;
b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. »

— RGPD, article 32-1, sécurité du traitement

Une entreprise qui perdrait involontairement des données à caractère personnel pourrait donc être sanctionnée par la CNIL, non pas pour la perte des données, mais pour un manquement à l’obligation de sécurisation.

La CNIL n’effectue cependant pas une enquête chaque fois qu’il y a une perte de données. Elle étudie uniquement un cas lorsqu’elle décide de s’autosaisir, principalement les cas médiatisés, ou lorsque des personnes déposent un signalement auprès d’elle.

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).