Par la délibération SAN-2022-009 du 15 avril 2022, la formation restreinte de la Commission nationale de l’informatique et des libertés (Cnil) a prononcé une sanction pécuniaire d’un montant de 1,5 millions d’euros à l’encontre d’un éditeur traitant des données de santé divulguées à la suite d’une violation.
Cet éditeur est spécialisé dans la commercialisation de solutions destinées aux laboratoires d’analyses médicales.
Quelles sont les conséquences d’une violation de données portant sur des données médicales ? Quelle responsabilité de l’éditeur de la solution ? Quels sont les manquements constatés par la formation restreinte ?
Rappel du contexte
Le 23 février 2021, un article de presse a révélé une fuite massive de données à caractère personnel, concernant près de 500 000 personnes. Des données d’identification (nom, prénom, numéro de sécurité sociale), ainsi que des données de santé (pathologies, traitements médicamenteux) étaient disponibles sur un forum en ligne, via un lien de téléchargement.
La Cnil s’est rapidement saisie de cette affaire et a diligenté plusieurs contrôles auprès de l’éditeur de la solution (contrôle en ligne, contrôle sur pièces et contrôle sur place). Ensuite, des contrôles sur place ont été effectués dans les locaux de deux sociétés clientes. La Cnil a également obtenu le blocage d’accès au fichier litigieux par une ordonnance de référé du 4 mars 2021.
Quels sont les manquements constatés ?
La formation restreinte de la Cnil constate plusieurs manquements de l’éditeur de la solution agissant en qualité de sous-traitant des laboratoires d’analyses médicales au sens du règlement général sur la protection des données (RGPD).
Manquement à l’obligation de conclure un contrat de sous-traitance
La formation restreinte de la Cnil constate que ni les documents contractuels encadrant la relation de l’éditeur de la solution et ses clients (contrat de maintenance, contrat d’assistance et de maintenance), ni les conditions générales de vente dudit éditeur ne comportent les mentions prescrites par l’article 28 paragraphe 3 du RGPD.
En l’espèce, l’entité sanctionnée ne conteste pas ces manquements, mais considère qu’elle ne doit pas être tenue seule responsable.
La formation restreinte de la Cnil relève toutefois que :
« 35. (…) la formation restreinte relève que le fait que l’obligation résultant de l’article 28, paragraphe 3, du RGPD incombe tant au responsable de traitement qu’au sous-traitant est sans incidence sur l’existence d’une responsabilité propre du sous-traitant. Elle note que c’est la société elle-même qui transmet aux laboratoires ses propres conditions générales de vente qui font office d’encadrement contractuel au titre du RGPD. »
Cnil, Délibération SAN-2022-009 du 15 avril 2022
Bien que l’éditeur ait engagé des démarches de conformité en déployant de nouveaux modèles de contrat intégrant les exigences de l’article 28, paragraphe 3 du RGPD, la formation restreinte de la Cnil constate un manquement. En effet, lors des contrôles, les contrats n’étaient pas conformes.
Manquement à l’obligation de traiter les données sur instruction du responsable du traitement
La formation restreinte de la Cnil constate que, dans le cadre de la migration des données vers un nouveau logiciel, le sous-traitant a extrait un volume de données plus important que celui requis par les instructions du responsable de traitement.
La formation restreinte de la Cnil considère que pour justifier ce manquement, « la société ne saurait se prévaloir d’un outil inadapté ». En l’occurrence, le logiciel utilisé pour migrer les données ne permettait qu’une extraction totale du fichier de données, et non une extraction limitée au strict nécessaire. Elle ajoute que la validation des extractions de données par les responsables de traitement ne suffit pas à démontrer la conformité de l’opération d’extraction.
C’est la raison pour laquelle la formation restreinte de la Cnil conclut à la caractérisation d’un manquement à l’article 29 du RGPD.
Manquement à l’obligation d’assurer la sécurité des données
Il est important de remarquer que l’obligation d’assurer la sécurité des données est d’autant plus importante lorsqu’il s’agit de catégories particulières de données (données concernant la santé des personnes concernées).
En effet, il convient de rappeler qu’il résulte de l’article 32 du RGPD que :
« 1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (…) ».
RGPD, article 35
Le rapporteur et la formation restreinte de la Cnil soulèvent plusieurs manquements à cette obligation de sécurité, notamment l’absence de « mesures de sécurité élémentaires ».
Malgré plusieurs alertes, le sous-traitant n’a pas mis en œuvre les mesures nécessaires pour faire cesser la divulgation des données.
En effet, dès mars 2020, un ancien collaborateur avait signalé des problèmes de sécurité. Le 4 novembre 2020, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a observé que des données d’un des deux laboratoires étaient mises en vente sur le darknet. Ces alertes « auraient dû conduire la société à effectuer des investigations sur son système de sécurité », souligne la formation restreinte de la Cnil.
L’autorité relève également l’absence d’effacement automatique des données après la migration vers un autre logiciel, l’absence de chiffrement des données de santé stockées sur un serveur, ou encore l’absence de procédure spécifique relative à la migration de données. Ainsi, à titre d’illustration, les extractions de données de santé étaient envoyées en clair sans mesure de sécurité.
Ainsi, ce manquement n’est pas constitué par la violation de données en tant que telle, mais par le défauts de mesures de sécurité à l’origine de celle-ci.
Quelles sanctions ?
A la suite des constats de manquements, la formation restreinte de la Cnil prononce une amende administrative d’un montant de 1,5 millions d’euros, par une délibération rendue publique.
Ce montant a été calculé en prenant en compte plusieurs critères, récemment harmonisés par le Comité européen de la protection des données (CEPD) dans ses lignes directrices du 12 mai 2022.
La Cnil rappelle qu’en cas de violations multiples (ce qui est le cas en l’espèce), le montant total de l’amende ne peut excéder le montant fixé pour la violation la plus grave. Dans son prononcé, l’autorité prend notamment en compte :
- La situation financière du sous-traitant ;
- Le nombre massif de personnes affectées ;
- La nature des données et le « caractère extrêmement dommageable de la violation pour les personnes concernées » (révélation d’informations médicales, risques d’usurpation d’identité, etc.) ;
- Les mesures prises par le sous-traitant pour atténuer le dommage (aucune en l’espèce) ;
- Le degré de coopération du sous-traitant avec la Cnil (qui ici, ne saurait être considéré comme une circonstance atténuante) ;
- Les circonstances aggravantes (le non-respect de l’article 29 du RGPD).
La méthode de sanction de la Cnil s’aligne avec les lignes directrices susmentionnées, qui précisent les modalités de calcul ainsi que les éléments à prendre en compte dans le prononcé d’une amende administrative par une autorité nationale de protection des données tels que la catégorisation des infractions par nature, la gravité de l’infraction et le chiffre d’affaires de l’entreprise. La méthode de calcul comporte cinq étapes, telles que la prise en compte de facteurs aggravants ou atténuants susceptibles d’augmenter ou diminuer le montant de l’amende, le respect de plafonds légaux, le respect des exigences d’efficacité, de dissuasion et de proportionnalité du montant de l’amende, etc.