CONTACT

Le vol d’une clé USB constitue, de facto, une violation de données

18 décembre 2024 | Alexandre Fievée & Valentin Vauge|

Le vol d’une clé USB constitue, de facto, une violation de données

AEPD (Espagne), 16 mars 2024

L’autorité de contrôle espagnole a sanctionné un responsable du traitement qui s’était fait voler une clé USB non chiffrée et l’a enjoint à notifier la violation de données personnelles aux personnes concernées.

1. Le vol, dans les locaux du responsable du traitement, d’une clé USB non chiffrée

Les locaux d’un responsable du traitement ont été cambriolés et une clé USB non chiffrée contenant des données personnelles a été volée. Le responsable du traitement a immédiatement déposé une plainte pénale mais a tardé à notifier la violation à l’autorité de contrôle (notification hors délai), considérant par ailleurs que la notification aux personnes concernées n’était pas nécessaire.

L’autorité de contrôle a d’abord enjoint au responsable du traitement de notifier la violation aux personnes concernées, puis a indiqué ouvrir une enquête.

Pour sa défense, le responsable du traitement indiquait que rien ne prouvait qu’un tiers avait eu accès au contenu de la clé USB et que, par conséquent, rien ne démontrait qu’il y avait eu une violation de données.

2. Des faits incontestablement constitutifs d’une violation de données

Après avoir rappelé que la clé USB volée « n’était pas cryptée ou équipée d’une autre mesure visant à empêcher l’accès à ces informations par des tiers non autorisés en cas de perte ou de vol », l’autorité de contrôle a considéré que ces faits constituent « incontestablement » une violation de données, au sens du RGPD.

Ce faisant, l’autorité a rejeté l’argument du responsable du traitement qui affirmait que le vol d’un dispositif contenant des données à caractère personnel sans aucune protection d’accès ne constitue pas, de facto, une violation de la confidentialité, sauf à démontrer un accès à ces données par un tiers non autorisé.

En effet, selon l’autorité de contrôle, retenir cet argument en défense « reviendrait à dire que le vol d’un dossier papier ou d’un livre contenant [des données personnelles] ne constitue pas une violation de la confidentialité en raison de l’impossibilité de prouver de manière fiable que la personne qui l’a volé ou un autre tiers ne l’a pas ouvert. »

Pour l’autorité, « ce qui est pertinent pour comprendre qu’il y a eu violation de la confidentialité, c’est que l’information est totalement à la libre disposition de tiers non autorisés ».

Compte tenu de ce qui précède, l’autorité de contrôle a considéré que le responsable du traitement n’avait pas pris les mesures de sécurité adéquates et a infligé au responsable du traitement une amende de 145 000 €.

Source : https://www.aepd.es/documento/ps-00084-2022.pdf