L’Autorité garante pour la protection des données personnelles, par l’arrêté n° 17 du 23 janvier 2020, qui sanctionne une université italienne pour ne pas avoir protégé de manière adéquate la confidentialité des données d’identification de deux sujets, les lanceurs d’alerte, qui avaient signalé de potentiels comportements illicites, a réitéré l’existence d’une obligation, pour l’employeur « Responsable du traitement » (aux termes de l’article 4 du Règlement UE 2016/679, le « RGPD ») de mettre en œuvre des mesures techniques et organisationnelles adaptées pour garantir la protection des données personnelles traitées (cf. Newsletter du garant n° 462 du 18 février 2020).
De manière plus spécifique, à l’époque des faits, l’Université, pour répondre aux obligations de protection adéquate du salarié qui signale des conduites illicites au sein de l’environnement de travail (le « lanceur d’alerte » introduit dans le droit italien par le décret législatif n° 165 du 30 mars 2001), avait choisi d’utiliser une solution technologique. Dans ce cas, pour garantir la protection de l’acquisition et de la gestion des signalements des comportements illicites, l’Université avait recours à l’utilisation d’une plateforme logicielle fournie par un sujet tiers extérieur à l’organisation de l’Université en elle-même.
Pendant une modification avec mise à jour simultanée du logiciel, un phénomène dit d’écrasement des autorisations d’accès s’est produit, ce qui a entraîné l’exposition des données personnelles des deux lanceurs d’alerte, sur certains moteurs de recherche accessibles et visualisables par quiconque effectuait une recherche sur Internet.
Face à quoi, l’Université a notifié l’Autorité garante pour la protection des données personnelles d’une violation, appelée data breach, par laquelle elle dénonçait la dispersion des données personnelles courantes des deux lanceurs d’alerte sur le réseau public, rendues de cette manière potentiellement consultables par tous.
L’activité d’instruction, mise en œuvre par l’Autorité garante de la protection des données personnelles, a relevé que l’Université n’avait pas adopté certains moyens techniques et organisationnels, destinés à garantir « les exigences de sécurité et de confidentialité propres à la gestion des données dans le cadre de procédures de lancement d’alerte », en ne prévoyant pas, notamment, une procédure correcte pour le contrôle des accès, qui aurait dû limiter le traitement des données au personnel autorisé.
En effet, l’Université s’était limitée à s’approprier les mesures de sécurité choisies par le fournisseur du logiciel. Toutefois, les mesures de sécurité susmentionnées n’étaient ni adaptées ni adéquates, puisque qu’elles ne prévoyaient pas de moyens comme le chiffrage ou l’adoption d’un protocole de communication sécurisée des informations, permettant ainsi la violation de la confidentialité et de l’intégrité des données personnelles traitées et la conservation et l’accessibilité inadaptées de celles-ci.
En particulier, l’Autorité garante pour la protection des données personnelles a affirmé que « Concernant l’application en question, compte tenu de la nature, de l’objet et des finalités du traitement, ainsi que du risque élevé pour les droits et les libertés des personnes fournissant le signalement, la solution adoptée par l’Université ne peut être considérée comme une mesure technique adaptée pour garantir la confidentialité et l’intégrité des données traitées, ainsi que l’authenticité du site web visualisé par les sujets qui l’utilisent aussi bien comme canal d’envoi des signalements (employés, étudiants, etc.) que comme instrument de gestion de celles-ci (RPCT et ses éventuels collaborateurs ».
Cliquez ici pour continuer à lire l’article.