Par une décision du 22 juillet 2022, le Conseil d’Etat répond à cette question par la négative en considérant que « eu égard à l’information dont disposait déjà la Cnil et qui lui avait permis d’engager un contrôle, [le responsable du traitement] n’entrait pas dans le champ [de l’obligation de notification de la violation de données], la Cnil a entaché sa délibération d’une erreur de droit. ».
Ce faisant, la haute juridiction administrative réforme partiellement la délibération de la formation restreinte de la Commission nationale de l’informatique par laquelle une sanction avait été prononcée à l’encontre d’une entité pour manquement aux obligations d’assurer la sécurité des données et de notification d’une violation de données à l’autorité de contrôle lorsqu’elle est susceptible de générer un risque pour les droits et libertés des personnes.
Dans ce contexte, la sanction pécuniaire prononcée par la formation restreinte de la Cnil a été ramenée de 3 000 euros à 2 500 euros.
Bref rappel des faits
Fin 2020, un site web avait signalé à la Cnil un accès libre aux serveurs informatiques d’imagerie médicale d’un médecin libéral, ayant la qualité de responsable de traitement de données.
La Cnil avait procédé à un contrôle en ligne, lequel avait permis de confirmer la possibilité de libre consultation et de téléchargement d’IRM, radios, scanners, mais aussi les noms et dates de consultation des patients dudit responsable de traitement. La Cnil avait également informé le professionnel de santé de la violation de données. Ce dernier avait alors mis en œuvre des mesures pour sécuriser l’accès à ses serveurs, en l’espèce librement accessibles suite à l’ouverture des ports réseaux de sa box Internet utilisée à domicile.
Le professionnel de santé avait par ailleurs fait l’objet d’une procédure de sanction ayant abouti au prononcé d’une sanction pécuniaire. La formation restreinte avait retenu deux manquements, l’un relatif à l’obligation d’assurer la sécurité des données (RGPD, article 32), l’autre relatif à l’obligation de notification des violations de données à l’autorité de contrôle (RGPD, article 33).
Cette sanction avait fait l’objet d’un recours devant le Conseil d’Etat.
La sécurité des données
La formation restreinte de la Cnil avait relevé qu’en application de l’article 32 du RGPD, il incombait au responsable de traitement de veiller à la sécurité des données traitées dans le cadre de son activité professionnelle. En l’espèce, la vulnérabilité du dispositif d’imagerie médicale avait été à l’origine de la violation des données à caractère personnel des patients du responsable de traitement.
Sur ce point, le Conseil d’Etat réaffirme le manquement à l’obligation d’assurer la sécurité des données. Pour la haute juridiction administrative le responsable de traitement n’avait pas mis en œuvre les mesures appropriées pour garantir la sécurité du traitement, c’est-à-dire :
- une limitation des fonctions réseaux à celles strictement nécessaires dans le cadre du traitement,
- une utilisation de moyens de chiffrement de tous postes, fixes et nomades.
De plus, compte tenu du traitement de catégories particulières de données au sens de l’article 9 du RGPD (données médicales), le professionnel de santé aurait du faire preuve d’une vigilance accrue.
La notification de la violation de données
Le responsable de traitement n’a pas déclaré la violation de données auprès des services de la Commission nationale de l’informatique et des libertés.
La formation restreinte avait considéré que l’exigence de notification à la Cnil prévue à l’article 33 du RGPD aurait dû être respectée, même si la Cnil avait elle-même informé le responsable de traitement de ladite violation. Ainsi, les membres de la formation de sanction avait retenu que :
« La circonstance que la violation de données ait été portée à la connaissance de M. […] par le service des contrôles de la CNIL ne le déchargeait pas de cette obligation. »
Le Conseil d’Etat contredit le raisonnement suivi par le formation restreinte de la Cnil en considérant que dès lors que le responsable de traitement avait eu connaissance du libre accès de son serveur d’imagerie médicale par la délégation de contrôle de la Cnil, l’obligation de notification devenait surabondante.
Toutefois, si cette situation particulière place le responsable de traitement hors du champ de l’article 33 du RGPD, cette règle ne s’applique de manière absolue. En effet, le Conseil d’Etat précise que cette solution s’applique au cas d’espèce dans la mesure où les informations à disposition de la Cnil avaient été suffisantes pour engendrer un contrôle. Ainsi, a contrario, si l’autorité de contrôle avait été en possession d’informations partielles ne lui permettant pas d’engager un contrôle, son alerte n’aurait pas suffit à exempter le responsable de traitement de son obligation de notification.
Que retenir ?
Un responsable de traitement alerté par la Cnil quant à une violation de données n’a pas à la lui notifier a posteriori, si celle-ci a d’ores et déjà effectué un contrôle en ligne lui permettant d’avoir connaissance d’informations (nature des données concernées, faits caractérisant la violation notamment).
Il faut toutefois souligner que si un responsable de traitement s’estime exonéré de son obligation de notification compte tenu des circonstances de sa découverte par l’intermédiaire d’une information des services de la Cnil, il devra documenter sa position. En effet, le risque pèse sur le responsable de traitement, qui, s’il ne réalise pas cette notification, s’expose à un constat de manquement à l’article 33 du RGPD ayant pour cause l’insuffisance d’’informations détenues par la Cnil.
De plus, il faut noter que le Conseil d’Etat se prononce ici sans nécessairement tenir compte, dans le cadre d’une notification à la Cnil, de la diversité des informations à relater lors de la procédure puisqu’un réel travail de documentation en interne doit être mené pour réunir les informations suivantes notamment :
- la nature de la violation ;
- le volume et les catégories de données personnelles concernées ;
- le volume et les catégories d’individus concernés ;
- les conséquences probables de la violation ;
- les mesures prises/à prendre pour éviter une nouvelle violation.
En outre, grâce aux éléments obtenus au moyen des notifications qui lui sont adressées, la Cnil en assure le suivi et alimente son bilan annuel à travers des statistiques précises. Grace à ces informations, la Cnil a pu comptabiliser 5037 notifications de violation de données en 2021, une hausse de 79% par rapport à l’année précédente.