Connexion
Abonnez-vous

Une violation de données signalée par la CNIL n’a pas toujours à être notifiée à… la CNIL

Tautologique

Une violation de données signalée par la CNIL n’a pas toujours à être notifiée à... la CNIL

Le 25 juillet 2022 à 15h46

Le Conseil d’État détaille l’obligation de notification des failles de sécurité, l’une des pierres angulaires du RGPD. Cette obligation d’alerte de la CNIL disparaît quand c’est l’autorité elle-même qui informe le responsable de traitement de l’existence de la brèche. Si du moins les informations en sa possession sont suffisantes pour engager un contrôle. 

L’arrêt rendu le 22 juillet concernait un défaut de sécurisation de données sensibles, des imageries médicales d’un serveur détenu par un chirurgien orthopédiste. En libre accès, pas moins de cinq mille trois cents images médicales, avec nom, prénom, date de naissance, nom des praticiens, etc.

Alerté de cette fuite par l’autorité elle-même le 8 octobre 2019, le professionnel de santé avait colmaté la brèche dès le lendemain.

Fin 2020, la CNIL prononçait malgré tout à son encontre une amende de 3 000 euros pour ne pas avoir respecté les articles 32 et 33 du règlement européen. Ces deux dispositions sont respectivement relatives à l’obligation de sécurité et l’obligation de notification des violations de données.

Un manquement à l’obligation de sécurité

Le professionnel de santé avait reconnu avoir un peu trop ouvert ses accès « pour faire fonctionner son " VPN ", dont il avait paramétré lui-même la fonction serveur du logiciel d'imagerie "HOROS" sans recourir à un prestataire », résume l'arrêt.

Par ailleurs, il n’avait pas chiffré ces données « ce qui permettait à toute personne prenant possession de ses appareils ou s'introduisant de manière indue sur le réseau auquel ces appareils étaient raccordés de prendre connaissance de ces données ».

Autant de manquements caractérisés à l’obligation de sécurité, confirmés par le Conseil d’État. Cependant, la même juridiction a réformé la décision de la CNIL s’agissant de l'absence de notification.

Pas toujours d’obligation de notification quand la CNIL alerte le responsable

En effet, la CNIL pouvait-elle reprocher au responsable de traitement de ne pas l’avoir informé d’une faille dont elle était déjà… informée ? Pas vraiment, estime le Conseil d’État.  

Selon l’arrêt, « l'obligation de notifier à la CNIL une violation de données à caractère personnel susceptible de faire naître un risque pour les droits et libertés des personnes physiques ne s'impose pas au responsable du traitement dans le cas où la CNIL l'a elle-même informé de cette violation et a engagé son contrôle sur la base des informations portées à sa connaissance par ailleurs ».

En clair, quand la CNIL alerte elle-même un responsable de traitement de l’existence d’une faille de sécurité pour le contrôler dans la foulée, celui-ci n’a pas en principe à informer l’autorité compétente dans les 72 heures.

Cette situation un peu particulière met en effet le responsable de traitement hors du champ de l’article 33 du RGPD. Celui-ci n’a donc pas à suivre le formalisme de la notification, qui l’aurait obligé notamment à « décrire la nature de la violation de données à caractère personnel ».

Cette règle ne vaut cependant que si les informations à disposition de la CNIL étaient suffisantes pour lui permettre d'engager un contrôle.

Pour le cas présent, si le responsable de traitement a failli à l’obligation de sécurisation, il n’a pas violé l'article 33 du RGPD. Le Conseil d’État a donc ramené l’amende administrative de 3 000 à 2 500 euros.

Commentaires (8)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

C’est assez logique, vu que c’est la CNIL qui a informé de la faille le responsable du traitement !

votre avatar

Des fois, la logique avec l’administration faut la chercher loin. :transpi:

votre avatar

C’est pragmatique mais le texte du RGPD ne me semble pas donner de marges de manoeuvre de ce type, la lecture très textuelle de la CNIL me parait valable… Il faut les conclusions du rapporteur public

votre avatar

Disons que maintenant il y aura une jurisprudence :windu:
Tout ça pour gratter 500 balles… :D

votre avatar

micromy a dit:


Disons que maintenant il y aura une jurisprudence :windu: Tout ça pour gratter 500 balles… :D


Les dentistes sont généralement de pauvres gens!

votre avatar

Il y a de gros efforts de coordination entre les 29 CNIL européennes pour que l’application de la règlementation soit partout la même : https://ec.europa.eu/newsroom/article29/items/612052/en



Il est dommage que cette jurisprudence ait été prise au niveau du village gaulois et non au niveau de l’EDPB.

votre avatar

Il ne t’as pas échappé que cette décision de justice a été prise par le Conseil d’État et pas par la CNIL. Il n’y a aucune concertation à avoir avec les autres pays dans ce cas. Il aurait éventuellement pu consulter la CJUE s’il avait pensé qu’il pouvait y avoir un doute.



Je ne sais pas si la CNIL avait consulté les autres états avant de prendre sa décision. :fumer:

votre avatar

Dès le titre, j’ai mal au crane.

Une violation de données signalée par la CNIL n’a pas toujours à être notifiée à… la CNIL

  • Un manquement à l’obligation de sécurité

  • Pas toujours d’obligation de notification quand la CNIL alerte le responsable

Fermer