Il y a deux ans, la formation restreinte de la Cnil avait sanctionné deux médecins, notamment pour ne pas avoir procédé à la notification auprès de la Cnil de la violation de données à caractère personnel subie par chacun d’entre eux, alors même que ces violations avaient été portées à leur connaissance par la Cnil elle-même, lors de son contrôle (cf. Délibération SAN-2020-014 du 7 décembre 2020 et Délibération SAN-2020-015 du 7 décembre 2020).
Par une décision en date du 22 juillet dernier, le Conseil d’Etat a réformé l’une de ces décisions de la formation restreinte de la Cnil (cf. Conseil d’État, 10ème – 9ème chambres réunies, 22/07/2022, 449694), clarifiant ainsi la portée de l’obligation de notification suite à une violation de données à caractère personnel.
Rappel des obligations du responsable de traitement en cas de violation de données à caractère personnel
Pour mémoire, une violation de données à caractère personnel est « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données » (cf. article 4 du Règlement général sur la protection des données du 27 avril 2016 dit « RGPD »).
Les articles 33 et 34 du RGPD imposent à tout responsable de traitement qui subit une violation de données à caractère personnel, les obligations suivantes :
- obligation de documentation de la violation de données à caractère personnel selon un formalisme et un contenu imposé par les textes ;
- obligation de notification à la Cnil lorsque cette violation de données à caractère personnel est susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, et ce dans les meilleurs délais et au plus tard 72h après que le responsable de traitement en a pris connaissance, ;
- et, le cas échéant, obligation d’information à l’attention des personnes concernées en cas de risque élevé pour les droits et libertés des personnes concernées ou d’instruction de la Cnil en ce sens.
Aussi, pour déterminer si une violation de données à caractère personnel doit faire l’objet d’une notification à la Cnil et/ou d’une information des personnes concernées, il convient de procéder à une analyse des risques (voir notre précédent article à ce sujet).
Portée de l’obligations de notification d’une violation de données à caractère personnel
Ainsi que nous l’avions souligné, la formation restreinte de la Cnil avait une interprétation très sévère de la portée de l’obligation de notification d’une violation de données à caractère personnel par le responsable de traitement (cf. notre précédent article à ce sujet).
En effet, lors de ses contrôle auprès de deux médecins, le Cnil les avait informés de l’existence de violations de données à caractère personnel (dont elle-même avait été informée suite à un signalement sur un site internet de tiers). La formation restreinte de la Cnil les avait alors sanctionnés, entre autres pour ne pas avoir notifié à la Cnil de telles violations (cf. Délibération SAN-2020-014 du 7 décembre 2020 et Délibération SAN-2020-015 du 7 décembre 2020).
Le Conseil d’Etat a réformé l’une de ses décisions et a réduit l’amende administrative de 3 000 euros prononcée initialement contre le médecin concerné à 2 500 euros en considérant qu’il résulte des dispositions applicables que « l’obligation de notifier à la Cnil une violation de données à caractère personnel susceptible de faire naître un risque pour les droits et libertés des personnes physiques ne s’impose pas au responsable du traitement dans le cas où la Cnil l’a elle-même informé de cette violation et a engagé son contrôle sur la base des informations portées à sa connaissance par ailleurs ».
C’est de manière logique et opportune que le Conseil d’Etat a ainsi clarifié la portée d’une telle obligation de notification du responsable de traitement en cas de violation de données à caractère personnel, celle-ci devenant sans objet si la Cnil avait connaissance de la violation de données à caractère personnel…
Ce qu’il faut retenir : En cas de violation de données à caractère personnel dont votre organisme serait informé dans le cadre d’un contrôle de la Cnil et dont la Cnil aurait eu connaissance au moyen de sources d’informations tierces (par exemple, par voie de presse ou par un signalement sur un site internet), celle-ci ne pourrait en principe pas vous sanctionner pour ne pas avoir procédé à une telle notification.
Une attention particulière doit tout de même être portée à cette décision, en ce que cette exception à l’obligation de notification d’une violation de données à caractère personnel doit être interprétée de manière très stricte. Bien entendu, la décision aurait sans doute été différente si le responsable de traitement avait découvert par ses propres moyens l’existence d’une violation de données à caractère personnel, même pendant un contrôle de la Cnil, sans que cette dernière n’identifie la violation lors dudit contrôle. En outre, elle ne signifie pas pour autant que, dans une situation similaire à celle rencontrée en l’espèce, le responsable de traitement est exonéré de son obligation d’information à l’attention des personnes concernées en cas de risque élevé pour les droits et libertés des personnes concernées.
Le Pôle « IT & data protection » d’AGIL’IT se tient à votre disposition pour vous accompagner en vue d’une mise et/ou d’un maintien en conformité de vos pratiques au regard de la règlementation applicable en matière de protection des données à caractère personnel, et notamment sur les actions à déployer en cas de violation de données à caractère personnel.
Par AGIL’IT – Pôle IT & Data protection
Laure LANDES-GRONOWSKI, Avocate associée
Marie MILIOTIS, Avocate
