Lorsque la CNIL informe un responsable de traitement d’une faille de sécurité l’affectant, ce dernier n’est pas tenu par l’obligation de notification des violations de données prévue par le RGPD.
Une faille de sécurité informatique affectant un serveur détenu par un chirurgien orthopédiste a conduit à mettre en libre accès plus de 5300 images médicales assorties notamment des noms, prénoms et dates de naissance des patients.
Lors de deux contrôles en ligne conduits en octobre 2019, la CNIL a constaté l’existence de cette fuite de données et en a informé le chirurgien. Le lendemain, ce dernier l’a informée avoir pris les mesures appropriées pour remédier à l’atteinte et mettre fin à la violation constatée.
Par une délibération du 3 décembre 2020 prise sur le fondement d’une violation des articles 32 et 33 du RGPD, la CNIL a prononcé une sanction de 3 000 euros à l’encontre du chirurgien pour avoir manqué à ses obligations d’assurer la sécurité du traitement et de lui notifier la violation de données.
Le chirurgien a formé un recours en annulation de cette délibération devant le Conseil d’État qui, dans un arrêt du 22 juillet 2022, l’a partiellement réformée et a abaissé le montant de l’amende à 2 500 euros.
Confirmation du manquement à l’obligation de sécurité
Les articles 32 et 33 du RGPD visent respectivement l’obligation de sécurisation des traitements de données personnelles et l’obligation de notification des violations de données.
En vertu de ces articles, les entités traitant des données à caractère personnel sont tenues d’assurer la sécurité de ces dernières en mettant en œuvre toutes les mesures appropriées.
Dans sa délibération, la CNIL reprochait au chirurgien d’avoir manqué à ses obligations de sécurité. Elle relevait à cet égard qu’il n’avait pas protégé son réseau informatique interne en limitant les flux au strict nécessaire – le chirurgien avait notamment « procédé à l’ouverture des ports réseaux de la box Internet utilisée à son domicile pour faire fonctionner son VPN ».
Elle lui reprochait également de ne pas avoir procédé au chiffrement des données médicales concernées alors que ces dernières, en raison de leur caractère particulièrement sensible, devaient bénéficier de mesures de sécurité renforcée.
Le Conseil d’État a confirmé la délibération de la CNIL sur ce point, en ajoutant que le chirurgien avait manqué « aux exigences élémentaires en matière de sécurité informatique ».
Une exception à l’obligation de notification des violations de données
L’article du 33 du RGPD précise que tout responsable de traitement victime d’une faille de sécurité est tenu de notifier la violation de données à l’autorité de contrôle dans les meilleurs délais – et si possible 72 heures après en avoir eu connaissance –, si la violation est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées.
À cet égard, le Conseil d’État affirme que « l’obligation de notifier à la CNIL une violation de données à caractère personnel susceptible de faire naître un risque pour les droits et libertés des personnes physiques ne s’impose pas au responsable du traitement dans le cas où la CNIL l’a elle-même informé de cette violation et a engagé son contrôle sur la base des informations portées à sa connaissance par ailleurs ».
La CNIL ne pouvait donc pas reprocher au responsable de traitement de ne pas lui avoir notifié la violation de données dont elle l’avait elle-même informé et à partir de laquelle elle avait engagé un contrôle.
Le Conseil d’État a donc réformé la délibération de la CNIL sur ce point, et considéré que le chirurgien « n’entrait pas dans le champ de [l’]obligation » de notification.
En considération de cette réformation partielle, le Conseil d’État a ramené la sanction pécuniaire prononcée à l’encontre du chirurgien à 2 500 euros, et ordonné à la CNIL de publier sa décision « selon les mêmes modalités que celles qu’elle avait retenues pour sa délibération » initiale.
Lire l’arrêt n°449694 du Conseil d’État du 22 juillet 2022
