Le PFPDT clôt les enquêtes contre l’entreprise Xplain, ainsi que les offices fédéraux fedpol et OFDF
Berne, 01.05.2024 - Dans les trois enquêtes, le PFPDT a constaté des violations de la loi sur la protection des données dues à des erreurs dans les processus de support. Les résultats des enquêtes montrent que, d’une part, les mesures nécessaires en matière de protection des données n’ont pas été prises lors de la transmission des données personnelles par les offices fédéraux de la police ainsi que de la douane et de la sécurité des frontières à Xplain et que, d’autre part, ces données ont ensuite été conservées par Xplain en violation de la protection des données et en partie en violation des obligations contractuelles.
À la suite d’une attaque au rançongiciel contre l’entreprise Xplain en mai 2023, une grande quantité de données personnelles de l’administration fédérale, parmi lesquelles des données sensibles, ont été publiées sur le darknet. Ces données avaient été stockées sur un serveur de Xplain. Le PFPDT a alors ouvert, le 20 juin 2023, deux enquêtes contre les offices fédéraux de la police (fedpol) et de la douane et de la sécurité des frontières (OFDF), puis le 13 juillet 2023 une enquête contre l’entreprise Xplain. Il a notamment examiné les circonstances dans lesquelles les offices soumis aux enquêtes avaient transmis des données à Xplain et les circonstances dans lesquelles Xplain les avait conservées sur son serveur.
Dans ses rapports, le PFPDT constate que ni fedpol ni l’OFDF n’avaient clairement convenu avec Xplain si, et dans quelles conditions, des données personnelles pouvaient être conservées sur le serveur de Xplain dans le cadre du support. Il aurait fallu prévoir explicitement dans quelle mesure des données personnelles pouvaient être transmises à Xplain et conservées par cette dernière. Le processus en place était organisé de manière à ce que des données personnelles soient transmises à Xplain dans le cadre du support, sans qu’aucune exigence précise n’ait été définie pour la transmission et le respect de la sécurité des données du côté de l’entreprise. Ainsi, le serveur de Xplain contenait une collection de données non structurées provenant des offices fédéraux. Le PFPDT a également constaté que la quantité de données personnelles transmises dans ce contexte était disproportionnée.
Xplain n’avait pas accès aux banques de données de fedpol ou de l’OFDF. Mais l’entreprise aurait dû savoir que les fonctions de support qu’elle avait programmées pouvaient contenir des données personnelles et que, par conséquent, ces données pouvaient être traitées sur son serveur. En tant que sous-traitant, Xplain n’a pas pris les mesures appropriées pour garantir la sécurité des données et la protection de l’information que requièrent les bonnes pratiques. Du point de vue de la protection des données, l’entreprise a violé les principes de finalité et de proportionnalité qui régissent la conservation de données personnelles. Elle a en outre violé ses obligations contractuelles concernant la conservation de ces données personnelles, qui prévoyaient malgré tout l’effacement ponctuel des données.
Le PFPDT a fait des recommandations à l’OFDF, à fedpol et à Xplain dont la mise en œuvre vise à réduire durablement le risque de nouvelle violation de la protection des données. Les trois destinataires disposent d’un délai de 30 jours pour dire au PFPDT s’ils acceptent ses recommandations.
Note: Parallèlement à l’enquête menée par le PFPDT, en tant qu’autorité d’enquête indépendante conformément à la loi sur la protection des données, une enquête administrative a été ordonnée par le Conseil fédéral en application de la loi sur l'organisation du gouvernement et de l'administration. Le rapport final de cette enquête qui porte également sur les flux de données de Xplain AG, est également publié le 1er mai 2024. Les deux enquêtes ont été menées séparément.
Adresse pour l'envoi de questions
Préposé fédéral à la protection des données et à la transparence (PFPDT), Tél. +41 58 462 99 31, info@edoeb.admin.ch
Auteur
Préposé fédéral à la protection des données et à la transparence
https://www.edoeb.admin.ch/edoeb/fr/home.html