Quand notifier à la CNIL ?

Réponse logique du Conseil d’Etat : NON bien sûr.

Il résulte du paragraphe 1 de l’article 33 du règlement (UE) 2016/679 du 27 avril 2016 (RGPD) que l’obligation de notifier à la Commission nationale de l’informatique et des libertés (CNIL) une violation de données à caractère personnel susceptible de faire naître un risque pour les droits et libertés des personnes physiques ne s’impose pas au responsable du traitement dans le cas où la CNIL l’a elle-même informé de cette violation et a engagé son contrôle sur la base des informations portées à sa connaissance par ailleurs.

En l’espèce, par courriel en 2019, la CNIL a informé M. C… du libre accès des images médicales de ses patients à partir de l’adresse IP de son serveur et de l’engagement en conséquence d’un contrôle en ligne par ses services.

La faille de sécurité informatique affectant l’installation de M. C… n’était pas anodine : elle a conduit à mettre en libre accès plus de cinq mille trois cents images médicales, assorties des nom, prénom et date de naissance des patients, de la date de réalisation de l’examen et du nom des praticiens concernés.

Le tout était imputable à l’installation informatique de M. C…, qui a admis avoir, d’une part, procédé à l’ouverture des ports réseaux de la  » box Internet  » utilisée à son domicile pour faire fonctionner son  » VPN « , dont il avait paramétré lui-même la fonction serveur du logiciel d’imagerie  » HOROS  » sans recourir à un prestataire et, d’autre part, omis de mettre en place un dispositif de chiffrement des données à caractère personnel figurant sur son disque dur externe, ce qui permettait à toute personne prenant possession de ses appareils ou s’introduisant de manière indue sur le réseau auquel ces appareils étaient raccordés de prendre connaissance de ces données.

Gloups.

Le Conseil d’Etat a donc évidemment admis que M. C. soit sanctionné par la CNIL pour « manquement aux exigences élémentaires en matière de sécurité informatique qui incombe à tout responsable de traitement ».

Mais la CNIL aurait du s’arrêter là : censurer en plus M. C… pour manquement à l’obligation de notification de la violation des données personnelles imposée par l’article 33 du A…, alors qu’eu égard à l’information dont disposait déjà la CNIL et qui lui avait permis d’engager un contrôle, ce dernier n’entrait pas dans le champ de cette obligation, la CNIL a entaché sa délibération d’une erreur de droit.

Source : Conseil d’État, 22 juillet 2022, n° 449694, à mentionner aux tables du recueil Lebon

Dans une décision du 22 juillet 2022, le Conseil d'Etat pose le principe selon lequel l’obligation pour le responsable de traitement de notifier la CNIL (article 33 RGPD) en cas de violation ne s’impose pas quand « la CNIL l'a elle-même informé de cette violation et a engagé son contrôle sur la base des informations portées à sa connaissance... »

Dans l'affaire en question, la CNIL avait procédé en 2019 à des contrôles en ligne à la suite de signalements faisant état de serveurs informatiques d'imageries médicales librement accessibles en ligne.

Un médecin sera avisé que les images médicales ainsi que les noms et prénoms de ses patients sont accessibles à partir de l'adresse IP de son serveur, non protégée.

Il sera sanctionné le 7 décembre 2020 d'une amende de 3 000 euros par une délibération de la formation restreinte de la CNIL, pour manquement à l'obligation de sécuriser le traitement, et manquement à son obligation de notifier la CNIL de la violation (article 32 et 33 RGPD)

Le médecin a formé un recours devant le Conseil d'Etat.

Sur le manquement à l'obligation d'assurer la sécurité des données traitées

Le manquement à l'obligation de sécurité résulte de deux erreurs du responsable de traitement :

• D'une part, il n'a pas procédé au chiffrement des données médicales disponibles sur son disque dur externe

• D'autre part, il a réalisé lui-même une installation défaillante de son réseau, en ouvrant les ports de sa box internet pour faire fonctionner son VPN. Il aurait dû limiter les flux réseau au strict nécessaire.

Sur ce point, le Conseil d'Etat affirme que la CNIL n'a pas fait une inexacte application de l'article 32 du RGPD, le traitement de Données sensibles exigeant une attention particulière concernant les Mesures de sécurité mises en place.

Sur le manquement à l'obligation d'informer la CNIL de la violation

La CNIL reproche au médecin de ne pas l'avoir notifiée de la violation quand bien même elle en connaissait l'existence par le biais de l'enquête et avait informé ce dernier de la violation.

Pour elle, le responsable de traitement n'est pas déchargé de son obligation de notification car il pourrait apporter des éléments complémentaires à l'enquête.

Le Conseil d'Etat va lui considérer que le responsable de traitement est bien déchargé de cette obligation de notification lorsque la CNIL a déjà eu connaissance de la violation par le biais d'une enquête.

Il réduit donc le montant de la sanction imposée au médecin à 2 500 euros.

Comment documenter ses violations de données ? Découvrir comment maintenir facilement le registre obligatoire avec Dastra.

Quid de la portée de la décision ?

En décembre 2020, un autre médecin avait été sanctionné pour des motifs similaires (voir notre article détaillé ici)

On se demande toutefois si l'absence de nécessité d'une notification à la CNIL dans ce cas peut s'étendre de manière globale à tous les cas où l'autorité de contrôle enquête et informe le responsable de traitement de la violation.

En effet, cette absence d'obligation est peut être strictement limitée au cas où la CNIL dispose déjà de toutes les informations listées à l'article 33.3. Dans les autres cas, le responsable de traitement serait peut être tenu d'apporter le reste des informations par le biais d'une notification de violation.

Rien n'est moins sûr car le fondement de la décision du Conseil d'Etat est limité au 1 de l'article 33 du RGPD.

Pourquoi déclarer à la CNIL ?

Comment informer CNIL ?

Est