Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - 159

la confidentialité ou la disponibilité
de données personnelles »1
. Ainsi, et
à titre d'exemple, le CEPD considère
comme une violation de données
la copie par un salarié des données
commerciales du fichier
clients
de l'entreprise et leur réutilisation
après avoir quitté son emploi, afin
de contacter lesdits clients pour les
attirer dans sa nouvelle activité2
.
En cas de violation de données,
l'article 33 du RGPD impose au
responsable du traitement de
documenter,
dans un registre,
ladite violation et de la notifier à
l'autorité de contrôle dès lors qu'elle
présente un risque pour les droits
et
libertés des personnes. Si ce
risque est considéré comme élevé,
une communication doit être, par
ailleurs, adressée aux personnes
concernées.
L'affaire3
Après la cessation de son emploi,
un ancien employé de la Santander
Bank Polska SA, qui n'avait pas été
privé de l'accès à la plateforme de
services électroniques de
ladite
banque, a continué à s'y connecter,
consultant ainsi toute une série de
données personnelles concernant
les salariés de la banque. Parmi
ces données figuraient le nom,
le prénom, le numéro PESEL,
l'adresse de résidence (ou de séjour)
et des données de santé, telles que
des
informations relatives aux
arrêts de travail. Considérant qu'il
ne s'agissait pas d'une violation de
données au sens de l'article 4 du
RGPD, la Santander Bank Polska SA
n'a procédé à aucune notification.
Selon l'organisme bancaire, il n'y
avait pas violation de données
dans la mesure où aucun « traitement
illicite » n'avait été constaté.
Et même à considérer qu'il y ait
eu une violation de données, la
notification à l'autorité de contrôle
ne s'imposait pas car l'incident
en question ne présentait pas un
risque pour les droits et libertés des
personnes. Plusieurs motifs étaient
invoqués par la banque pour justifier
une telle analyse : (i) les accès
non autorisés avaient été réalisés
par une personne « de confiance »,
qui, avant la cessation de son
emploi, occupait un poste au
titre duquel elle était autorisée à
traiter des données personnelles
pour le compte de la banque et
connaissait donc la politique de
protection des données en vigueur
dans l'organisation ; (ii) l'incident
avait été signalé à l'entreprise par
cette personne, ce qui excluait
tout risque d'utilisation illicite des
données par cette dernière (« Il ne
peut être considéré qu'un ancien
employé, en signalant lui-même
l'irrégularité, puisse utiliser un
accès illicite aux données des
employés de la banque. Le contraire
serait contraire aux principes de
l'expérience de vie et aux principes
de la logique. »)
Cette argumentation n'a pas
emporté la conviction de l'autorité
polonaise de protection des
données, qui a considéré que l'accès
non autorisé à la plateforme de
services électroniques devait s'analyser
comme une « violation de la
confidentialité » présentant « un
risque élevé » pour les droits et
libertés des personnes concernées.
A cet égard, elle précise que, dans
l'appréciation de la violation de
données, il importe peu que la
personne non autorisée ait pris
connaissance ou non des données
personnelles stockées sur la
plateforme. Le simple fait que le
risque existe suffit à caractériser
la violation de données. La banque
a ainsi été sanctionnée pour ne
pas avoir notifié la violation de
données à l'autorité de contrôle
et
aux
personnes
concernées,
en l'occurrence les employés dont
les données personnelles étaient
accessibles depuis la plateforme.
Quelles recommandations ?
Dans ce genre de situation, l'entreprise
doit prendre les mesures
nécessaires
pour
neutraliser
le
risque, en coupant les accès litigieux.
Afin d'atténuer les effets
négatifs de la violation, une action
en justice immédiate doit être mise
en œuvre pour empêcher une utilisation
inappropriée des données
par la personne à l'origine de la
violation. Dans un second temps,
il convient de prendre les mesures
qui s'imposent pour éviter qu'une
telle situation ne se reproduise.
Une meilleure gestion des droits
d'accès/habilitation au moment du
départ d'un salarié semble être une
mesure de bon sens.
Alexandre FIEVÉE
Avocat associé
Derriennic Associés
Notes
(1) https ://www.cni l .fr/fr/les-violationsde-donnees-personnelles
(2)
CEPD, Lignes directrices 01/2021 sur les exemples
de notification des violations de données personnelles,
14 décembre 2021.
(3) UODO, décision DKN.5131.33.2021,
19 janvier 2022.

Vous avez envie de vous exprimer sur un sujet qui vous tient à cœur, de partager votre analyse
avec la communauté des lecteurs d'Expertises, d'exposer un point de vue différent sur un article
déjà publié, de lancer un débat sur un thème émergent, ou simplement de commenter l'actualité
du droit du numérique ?
Contactez la rédactrice en chef d'Expertises Sylvie Rozenfeld sr@expertises.info
EXPERTISES AVRIL 2022
159
https://www.cnil.fr/fr/les-violations-de-donnees-personnelles

Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia

Couverture
SOMMAIRE
Editorial
FOCUS BASE DE DONNÉES - UNE DIRECTIVE « PEAU DE CHAGRIN »
EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW - RÉDUIRE LA POLLUTION DU NUMÉRIQUE UNE LOI PIONNIÈRE
DOCTRINE
ENVIRONNEMENT - NUMÉRIQUE DURABLE : UN CADRE LÉGAL EN CONSTRUCTION
PROSPECTIVE - IA & RESPONSABILITÉ CIVILE DÉLICTUELLE
PLATEFORMES EN LIGNE - LA FRANCE DEVANCE L’UE
PROSPECTIVE - PEUT-ON SE FAIRE LICENCIER DANS LE MÉTAVERS ?
CONTENTIEUX - RIEN À FAIRE, C’EST LA MAAF QUE LE TRIBUNAL PRÉFÈRE
RGPD - VIOLATION DE DONNÉES PAR UN ANCIEN EMPLOYÉ
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - Couverture
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - SOMMAIRE
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - Editorial
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - FOCUS BASE DE DONNÉES - UNE DIRECTIVE « PEAU DE CHAGRIN »
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - 126
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - 127
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - 128
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - 130
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - 131
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - 132
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - INTERVIEW - RÉDUIRE LA POLLUTION DU NUMÉRIQUE UNE LOI PIONNIÈRE
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - 134
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - 135
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - 136
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - 137
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - 138
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - ENVIRONNEMENT - NUMÉRIQUE DURABLE : UN CADRE LÉGAL EN CONSTRUCTION
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - 140
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - 141
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - PROSPECTIVE - IA & RESPONSABILITÉ CIVILE DÉLICTUELLE
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - 143
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - 144
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - 145
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - 146
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - 147
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - 148
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - PLATEFORMES EN LIGNE - LA FRANCE DEVANCE L’UE
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - 150
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - 151
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - 152
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - PROSPECTIVE - PEUT-ON SE FAIRE LICENCIER DANS LE MÉTAVERS ?
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - 154
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - CONTENTIEUX - RIEN À FAIRE, C’EST LA MAAF QUE LE TRIBUNAL PRÉFÈRE
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - 156
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - 157
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - RGPD - VIOLATION DE DONNÉES PAR UN ANCIEN EMPLOYÉ
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - 159
Expertises des Systèmes d'information - Avril 2022 - N°478 - Le mensuel du droit de l'informatique et du multimédia - 160
https://www.nxtbook.fr/newpress/celog/celog-expertises-2206_480
https://www.nxtbook.fr/newpress/celog/celog-expertises-2205_479
https://www.nxtbook.fr/newpress/celog/celog-expertises-2204_478
https://www.nxtbook.fr/newpress/celog/celog-expertises-2203_477
https://www.nxtbook.fr/newpress/celog/celog-expertises-2202_476
https://www.nxtbook.fr/newpress/celog/celog-expertises-2201_475
https://www.nxtbook.fr/newpress/celog/celog-expertises-2112_474
https://www.nxtbook.fr/newpress/celog/celog-expertises-2111_473
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com