C’est en tout cas ce que l’on peut se demander, à la lecture d’une décision impliquant un directeur de clinique finlandaise tout aussi embarrassé que la Ville de Paris (Tietosuojavaltuutetun toimisto, 15 novembre 2022, n° 4022/171/22). Il s’est lui aussi fait voler son cartable! A l’intérieur, point de plans secrets, mais un compte-rendu médical d’un patient, un ordinateur et deux disques durs. Au total, 3 000 personnes concernées par la violation de données.
La clinique, évidemment, a vu sa « responsabilité RGPD » engagée par la CNIL finnoise. Le petit bout de dossier médical, évaporé dans la nature. Les données d’un disque, irrémédiablement perdues, faute de sauvegarde. Sur ces deux points, la sanction n’étonnera personne.
Mais l’autre support amovible de données était « probablement » chiffré et l’ordinateur, protégé par mot de passe. Ces deux points protègent-ils le responsable de traitement? Non.
Commençons par le disque. En 2021, le CEPD a indiqué que le chiffrement et la sauvegarde du support excluent toute violation de données (Guidelines 01/2021 on Examples regarding Data Breach Notification). Et donc vraisemblablement tout manquement. Mais en l’espèce, la décision indique que si la sauvegarde est certaine, le chiffrement n’est que probable. L’incertitude est alors fautive, puisqu’établissant un manquement au principe de responsabilité.
Quant au mot de passe de connexion à l’ordinateur, il est insuffisant à protéger les données qu’il contient. Les données doivent en plus être chiffrées (Délibération n° 2020-023 du 4 février 2021).
Reste la sécurité des documents papier durant leur transport. L’autorité finnoise indique qu’elle doit reposer sur des mesures de protection et de supervision adéquates. Menottes ou garde du corps, alors? C’est au choix.
Et vous, quelles mesures avez-vous prises pour la sécurité des données pendant leur transport? Quelles sont vos meilleures pratiques en la matière? Partagez-les en commentaires.
Des doutes sur les mesures de sécurité en place dans votre organisation ? N’hésitez pas à me contacter.