Le 12 août 2024, l’agence espagnole de protection des données (AEPD – Agencia Española de Protección de Datos) a publié une décision rendue à l’encontre de la société UNIQLO EUROPE LTD., concernant sa succursale espagnole, suite à une violation de données à caractère personnel ayant pour origine l’erreur humaine d’un salarié de la société. La procédure engagée par l’AEPD a donné lieu au prononcé d’une sanction pécuniaire à l’encontre d’UNIQLO.
Cette décision permet à l’agence espagnole de protection des données de rappeler une obligation fondamentale issue du RGPD : il incombe au responsable de traitement de prendre les mesures appropriées pour protéger la sécurité, et notamment la confidentialité, des données à caractère personnel traitées par ses salariés.
L’importance d’une formation adéquate des employés au respect des principes applicables en matière de protection des données à caractère personnel et de cybersécurité est également mise en évidence par cette décision puisque, selon l’AEPD, l’erreur humaine d’un salarié ne saurait exonérer le responsable de traitement de sa responsabilité en cas de survenance d’une violation de données à caractère personnel.
* *
*
Suite à la fin de son contrat de travail, un employé de la société UNIQLO a, le 8 août 2022, demandé au département Ressources Humaines de son ancien employeur sa fiche de paie du mois de juillet 2022. En réponse à sa demande, l’employé a reçu un courrier électronique de la part d’un salarié du département Ressources Humaines d’UNIQLO comportant en pièce jointe un document PDF dans lequel figuraient des informations relatives à sa fiche de paie, mais également des informations relatives à celles de 446 autres employés de la société !
Le document PDF reçu par l’ancien salarié comprenait, entre autres données, les noms des salariés, le numéro de leur carte d’identité, leur numéro d’affiliation à la sécurité sociale, leur numéro de compte bancaire ou encore le montant de leur salaire.
Le 31 mars 2023, l’employé a déposé une plainte auprès de l’AEPD.
La notification formelle de la violation à l’AEPD n’a été faite par UNIQLO que plus de 15 jours après le dépôt de la plainte précitée, et l’information à l’attention des personnes concernées près d’un mois suivant cette plainte.
Dans le cadre de la procédure engagée devant l’AEPD, UNIQLO a expliqué que la violation de données avait été causée par une erreur humaine au sein du département Ressources Humaines, et que la notification à l’AEPD ainsi que l’information des personnes concernées s’agissant de cette violation n’avaient pas pu être réalisées dans les délais prévus par le RGPD car l’employé à l’origine de cette erreur n’avait pas informé son supérieur hiérarchique de l’erreur commise, et UNIQLO n’avait donc eu connaissance de la violation de données qu’à la réception du courrier de l’AEPD l’informant de la plainte déposée par l’ancien salarié.
UNIQLO indiquait par ailleurs avoir mis en œuvre des mesures visant à garantir qu’un tel incident ne se reproduise pas (telles que la formation des membres du personnel concernant la cybersécurité et la protection des données à caractère personnel, ou encore la révision des procédures et politiques internes en matière de sécurité des données).
1. Sur la violation de l’article 5 du RGPD
L’AEPD considère qu’UNIQLO n’a pas garanti la sécurité, et notamment la confidentialité, des données à caractère personnel de ses employés puisqu’un tiers non autorisé a pu y avoir accès.
Aussi, cette autorité constate une violation de l’article 5, f) du RGPD par UNIQLO, qui impose que les données à caractère personnel soient « traitées de façon à garantir [leur] sécurité appropriée, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) »,
Au titre de ce manquement, l’AEPD prononce à l’égard d’UNIQLO une sanction s’élevant à 300 000 euros.
2. Sur la violation de l’article 32 du RGPD
L’AEPD constate un manquement de la part d’UNIQLO à l’article 32 du RGPD qui impose au responsable de traitement de mettre en œuvre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité [des données à caractère personnel] adapté au risque ».
En effet, l’AEPD constate le défaut d’adoption de mesures techniques et organisationnelles appropriées par UNIQLO, ce qui a permis à un tiers non autorisé d’accéder à des données à caractère personnel qu’il n’était pas autorisé à consulter.
L’AEPD relève également que, bien qu’UNIQLO justifie d’une série de mesures techniques et organisationnelles visant à préserver la sécurité de ses systèmes d’information, les moyens mis en œuvre n’avaient pas permis d’éviter la violation de données à caractère personnel ayant fait l’objet de la plainte.
L’APED souligne en outre que l’attitude négligente de l’employé du département Ressources Humaines eu égard aux données relatives aux fiches de paie des employés concernés n’exonérait pas UNIQLO de sa responsabilité, conformément à la jurisprudence du « Tribunal Supremo » espagnol qui a confirmé la responsabilité d’une entreprise pour les actes de négligence d’un employé ayant enfreint les règles applicables en matière de protection des données à caractère personnel.
L’AEPD caractérise donc un manquement à l’article 32 du RGPD, imputable à UNIQLO, et prononce une amende s’élevant à 150 000 euros à ce titre, ainsi que l’obligation pour UNIQLO d’adopter les mesures techniques et organisationnelles nécessaires pour garantir la sécurité des données à caractère personnel de ses employés.
UNIQLO ayant reconnu sa responsabilité et procédé au paiement volontaire de l’amende, l’AEPD a toutefois ramené le montant total de cette dernière à 270 000 euros.
* *
*
Bien que cette décision ait été rendue par l’AEPD, l’autorité espagnole en matière de protection des données à caractère personnel, elle doit être regardée avec attention au regard des principes fondamentaux qu’elle rappelle et qui font également l’objet d’un contrôle accru, en France, de la part de la Commission nationale de l’informatique et des libertés (ou Cnil).
Il ressort de cette décision de l’AEPD qu’il est primordial pour les entreprises, en tant que responsables de traitements, d’implémenter les mesures adéquates pour protéger les données à caractère personnel de leurs employés, ainsi que de faire preuve d’une vigilance accrue quant aux traitements de données effectués par leurs salariés et dont elles demeurent responsables.
Il est donc indispensable pour tout responsable de traitement de :
- déployer les mesures techniques et organisationnelles visant à assurer la sécurité, et notamment la confidentialité, des données à caractère personnel traitées par ses employés ;
- documenter ces mesures (ex : politique de sécurité des données à caractère personnel, charte informatique, charte des bonnes pratiques en matière de traitements de données à caractère personnel, etc.) et les rendre opposables le cas échéant à ses salariés ;
- mettre à jour ces mesures et la documentation associée en fonction des évolutions opérationnelles, technologiques, organisationnelles,… ou encore sur la base de retours d’expérience ;
- prévoir des formations et des actions de sensibilisation régulières à l’attention de ses salariés en matière de protection et de sécurité des données à caractère personnel, ainsi qu’une revue et une mise à jour permanente des procédures et politiques internes ;
et ce afin de prévenir de potentielles violations de données ainsi que les risques en résultant.
La mise en place de procédures internes permettant aux salariés d’identifier des situations constitutives d’incidents de sécurité ou de violations de données à caractère personnel (soupçonnés ou avérés), ou encore leur indiquant le process à suivre dans de telles hypothèses, est essentielle. Et là encore, la sensibilisation des salariés et l’accompagnement de ces derniers en matière d’appropriation d’une telle procédure, en vue de son respect par tous, sont primordiaux.
* *
*
AGIL’IT se tient à votre disposition pour vous accompagner dans le cadre de la mise et/ou du maintien en conformité de vos pratiques au regard de la règlementation applicable en matière de protection des données à caractère personnel, notamment s’agissant de l’élaboration et du déploiement de procédures et de politiques internes (ex : politique de sécurité des données à caractère personnel, charte informatique, charte des bonnes pratiques en matière de traitements de données à caractère personnel, etc.), ou encore de la réalisation d’actions de formation et de sensibilisation à l’attention de vos salariés en matière de protection des données à caractère personnel et de cybersécurité.
Pour plus d’informations sur les formations dispensées par AGIL’IT, rendez-vous sur notre site consacré à la formation : https://www.agilit.law/agilit-formation/.
Par AGIL’IT – Pôle IT, Data & Cyber
Laure LANDES-GRONOWSKI, Avocate associée
Kassandra BERTRAND-BOURDON, Avocate