Imaginons le scénario suivant : pendant sa période de préavis, le salarié d’une entreprise copie les données commerciales de l’entreprise à laquelle il est autorisé à accéder, et dont il a besoin pour remplir sa mission. Des mois plus tard, après avoir quitté son emploi, il utilise les données ainsi obtenues (principalement les coordonnées de base) pour contacter les clients de l’entreprise afin de les attirer vers sa nouvelle entreprise.

Un tel scénario constitue une violation de données personnelles au sens du RGPD.

Evaluation du risque

Lors de l’évaluation des risques, le type de violation et la nature, la sensibilité et le volume des données personnelles concernées doivent être prises en considération. Ces types de violations sont généralement des violations de confidentialité, puisque la base de données est généralement laissée intacte, son contenu étant « simplement » copié pour un usage ultérieur.

La quantité de données concernées est généralement faible ou moyenne. Dans ce cas particulier, aucune catégorie spécifique de données personnelles n’était concernée, l’employé n’avait besoin que des coordonnées des clients pour les contacter après avoir quitté l’entreprise. Par conséquent, les données concernées ne sont pas sensibles.

Bien que le seul objectif de l’ex-employé qui a malicieusement copié  les données puisse se limiter à obtenir les coordonnées de la clientèle de l’entreprise à ses propres fins commerciales, le responsable du traitement n’est pas en mesure de considérer que le risque pour les personnes concernées est faible, car il n’est pas du tout rassuré sur les intentions de l’employé. Ainsi, si les conséquences de la violation peuvent se limiter à l’exposition de l’ex-employé à une commercialisation personnelle injustifiée, un abus plus grave des données volées n’est pas exclu.

Obligation de notification

Comme la violation en question n’entraîne pas de risque élevé pour les droits et libertés des personnes physiques, une notification à l’autorité de contrôle est nécessaire, et probablement suffisante. Toutefois, l’information des personnes concernées peut également être bénéfique pour le responsable du traitement, car il est peut-être préférable qu’elles entendent parler de la fuite de données par l’entreprise plutôt que par l’ancien employé qui tente de les contacter.

Permanence en cas de violation de données

Êtes-vous impactés par le gigantesque et malheureux incendie survenu cette nuit dans un des datacenters #ovh ? Si oui il se peut que des données à caractère personnel que vous traitez en qualité de responsable de traitement soient, temporairement ou définitivement,...

La copie de données par un ex-employé constitue une violation de données personnelles que vous devez notifier à votre autorité de contrôle !

Imaginons le scénario suivant : pendant sa période de préavis, le salarié d'une entreprise copie les données commerciales de l'entreprise à laquelle il est autorisé à accéder, et dont il a besoin pour remplir sa mission. Des mois plus tard, après avoir quitté son...

Le guide pratique de la CNIL sur la durée de conservation des données

Le RGPD impose au responsable de traitement que les données qu'il traite soient conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont...

Gros coup de frein sur l’utilisation de drones en période covid

L'utilisation de drones par les autorités afin de faire respecter les mesures COVID ont fait grand bruit dans la presse, tant en France qu'en Belgique. En effet, en Belgique, par exemple, certaines zones de police avaient manifesté leur intention de procéder à une...

Cookies et traceurs : la CNIL vous explique tout

Les cookies sont de « mini fichiers » qui peuvent être placés sur l’appareil d’un utilisateur connecté à Internet, comme un ordinateur, un téléphone, une tablette ou encore une télévision intelligente. Les cookies peuvent être utilisés pour recueillir ou stocker des...

Intrigué(e) ? Intéressé(e) ? Parlons-en autour d'un café

3 + 10 =