« Vous êtes le maillon faible. » Admettons. Mais qui est désigné par ce pronom ? C’est là que le bât blesse, souvent.
Prenons cette décision de la « CNIL espagnole« , l’AEPD, qui sanctionne Uniqlo pour manquement au principe d’intégrité et de confidentialité ainsi qu’à l’obligation de sécurité, un salarié ayant adressé par erreur les données de paie relatives à 446 employés de la société (n° EXP202304685).
Jusque là, rien de bien original, me direz-vous. Et effectivement, les décisions sont légion, sur ce sujet.
Autre point d’un classicisme certain, désormais (AEPD, Caixabank, S.A.n° PS/00388/2022) : l’APD a rejeté la thèse d’une exonération du responsable de traitement, du fait de l’erreur humaine d’un de ses salariés. Si l’on raisonne par rapport au droit commun de la responsabilité, la solution est évidente : le « commettant » est responsable du fait de son préposé. Dans la lignée, l’exonération du responsable de traitement en présence d’une faute volontaire de l’agent est tout aussi rationnelle (GPDP, 8 juin 2023, Rinascente, n° 9909907).
Revenons à nos moutons. Uniqlo s’est défendu en précisant que son salarié n’avait pas avisé sa hiérarchie de son erreur. Dans de telles conditions, délicat, effectivement, d’engager la procédure de violation de données. La défense résiste moins à une analyse « ante mortem« , si je puis dire. L’AEPD note en effet qu’analyses de risque et d’impact auraient pu mettre le risque – très éloigné d’un cygne noir – en évidence. Et partant, ouvert la voie à des mesures de prévention.
Mais la 1ère mesure à prendre ne semble pas avoir été évoquée dans cette affaire : bannir ce type d’expressions culpabilisantes et toute forme de dissuasion par représailles. Elles incitent au silence, à la dissimulation.
Mais la 1ère mesure à envisager n’a pas été mentionnée dans cette affaire : éviter toute expression culpabilisante et toute forme de dissuasion par représailles. Ces pratiques incitent les employés à se taire et à dissimuler leurs erreurs.
Alors qu’en pratique, promouvoir une culture de la transparence est bien plus bénéfique pour tous : capitaliser sur l’incident, mettre en place rapidement des mesures correctives, et notifier en temps voulu toute violation de données éventuelle.
Avez-vous eu à gérer de telles situations? Des RETEX, des craintes ou des axes de préparation différents? Partagez-les en commentaires.
Des interrogations sur vos règles de sécurité organisationnelle ? Vous vous posez des questions sur la conformité de vos traitements? N’hésitez pas à me contacter.