Blog Données personnelles
Une exception à l’obligation de notification d’une violation de données à la CNIL identifiée par le Conseil d’Etat
Dans un arrêt du 22 juillet 2022, le Conseil d’Etat [1] a confirmé une délibération [2] de la Commission Nationale de l’Informatique et des Libertés (« Commission Nationale de l’Informatique et des Libertés ») ayant sanctionné un médecin libéral pour manquement à l’obligation de sécurité des données de santé de ses patients en vertu du Règlement général sur la protection des données (« RGPD »).
I. Les faits et la procédure
Après avoir procédé à des contrôles en septembre 2019, à la suite d’une information de la part d’un média spécialisé en nouvelles technologies, la CNIL a constaté l’accessibilité publique de données d’imagerie médicales et a pu établir l’origine des serveurs localisés en France ainsi que l’identité du responsable de traitement, un chirurgien orthopédiste. Le 6 décembre 2019, le responsable de traitement a fait l’objet d’un contrôle sur audition dans les locaux de la CNIL.
Pour sanctionner le professionnel de santé d’une amende de 3 000 euros, la CNIL retient que ce dernier a manqué d’une part, à son obligation de sécurité des données personnelles des patients, d’autre part à son obligation de notifier la violation de données (article 32 et 33 du RGPD).
Le requérant a fait appel devant le Conseil d’Etat en vue de l’annulation de la délibération. Le Conseil d’Etat, dans l’arrêt du 22 juillet 2022 a confirmé le manquement lié à la sécurisation des données tout en infirmant la partie de la délibération sur l’obligation de notification à l’autorité de protection des données. La sanction pécuniaire a également été réduite à 2 500 euros.
II. Les motifs de la décision
A. Sur le manquement à l’obligation de sécurité des données personnelles
En vertu de l’article 32 du RGPD, le responsable du traitement doit s’assurer de la mise en place de mesures techniques et organisationnelles appropriées (pseudonymisation, chiffrement) afin de garantir la confidentialité, l’intégrité, la disponibilité et la résilience des données.
Ainsi, le professionnel de santé aurait dû s’assurer de la configuration de son réseau informatique ainsi que du chiffrement systématique des données personnelles sur ses serveurs. D’autant plus qu’il s’agissait dans le cas d’espèce de données médicales, nécessitant un dispositif de protection plus protecteur. C’est d’ailleurs ce niveau de criticité des données qui fonde l’appréciation du Conseil d’Etat jugeant une exacte application faite de l’article 32§1 du RGPD par la CNIL.
B. Sur le manquement à l’obligation de notification de la violation de données
L’article 4 du RGPD définit la violation de données comme une violation de sécurité entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. L’article 33 du RGPD précise les conditions de l’obligation de notification en cas de violation.
Dans cette affaire, la spécificité réside dans le fait que l’atteinte à la confidentialité des données a d’abord été constatée par le média spécialisé puis par la CNIL dans un deuxième temps.
Le Conseil d’Etat estime donc que l’obligation de notification ne s’impose pas lorsque la CNIL informe elle-même le responsable de traitement de la violation et qu’elle dispose déjà d’informations lui permettant d’opérer son contrôle.
[1] CE, 10e et 9e ch. réun., 22 juillet 2022, n°449694
[2] Délibération n° SAN-2020-014 du 7 décembre 2020