Imaginons le scénario suivant : pendant sa période de préavis, le salarié d’une entreprise copie les données commerciales de l’entreprise à laquelle il est autorisé à accéder, et dont il a besoin pour remplir sa mission. Des mois plus tard, après avoir quitté son emploi, il utilise les données ainsi obtenues (principalement les coordonnées de base) pour contacter les clients de l’entreprise afin de les attirer vers sa nouvelle entreprise.
Un tel scénario constitue une violation de données personnelles au sens du RGPD.
Evaluation du risque
Lors de l’évaluation des risques, le type de violation et la nature, la sensibilité et le volume des données personnelles concernées doivent être prises en considération. Ces types de violations sont généralement des violations de confidentialité, puisque la base de données est généralement laissée intacte, son contenu étant « simplement » copié pour un usage ultérieur.
La quantité de données concernées est généralement faible ou moyenne. Dans ce cas particulier, aucune catégorie spécifique de données personnelles n’était concernée, l’employé n’avait besoin que des coordonnées des clients pour les contacter après avoir quitté l’entreprise. Par conséquent, les données concernées ne sont pas sensibles.
Bien que le seul objectif de l’ex-employé qui a malicieusement copié les données puisse se limiter à obtenir les coordonnées de la clientèle de l’entreprise à ses propres fins commerciales, le responsable du traitement n’est pas en mesure de considérer que le risque pour les personnes concernées est faible, car il n’est pas du tout rassuré sur les intentions de l’employé. Ainsi, si les conséquences de la violation peuvent se limiter à l’exposition de l’ex-employé à une commercialisation personnelle injustifiée, un abus plus grave des données volées n’est pas exclu.
Obligation de notification
Comme la violation en question n’entraîne pas de risque élevé pour les droits et libertés des personnes physiques, une notification à l’autorité de contrôle est nécessaire, et probablement suffisante. Toutefois, l’information des personnes concernées peut également être bénéfique pour le responsable du traitement, car il est peut-être préférable qu’elles entendent parler de la fuite de données par l’entreprise plutôt que par l’ancien employé qui tente de les contacter.
Permanence en cas de violation de données
Êtes-vous impactés par le gigantesque et malheureux incendie survenu cette nuit dans un des datacenters #ovh ? Si oui il se peut que des données à caractère personnel que vous traitez en qualité de responsable de traitement soient, temporairement ou définitivement,...
La garantie professionnelle de paiement : un instrument de sûreté flexible, efficace et sécurisé
La garantie professionnelle de paiement : un instrument de sûreté flexible, efficace et sécurisé. La garantie professionnelle de paiement offre une sécurité juridique et une flexibilité accrues par rapport aux instruments existants comme le cautionnement ou la...
Luxembourg : le Ministère du Travail, de l’Emploi et de l’Economie sociale et solidaire publie un message important pour les entreprises concernées par les mesures « anti-covid » et souhaitant bénéficier du régime de chômage partiel
Suite à l'entrée en vigueur de nouvelles restrictions pour lutter contre la pandémie du COVID-19, les entreprises impactées jusqu'au 10 janvier 2021 par l'interdiction de la vente au détail de produits et de marchandises non essentiels ou par l'interdiction de...
Ma petite entreprise
Le podcast de reef legal consacré au droit des affaires.