dimanche, février 5, 2023
Votre DPO clé en mainContacter DPO PARTAGE
AccueilContrôle CNILViolation de données, faut-il alerter la CNIL si l'alerte vient d'elle ?

Violation de données, faut-il alerter la CNIL si l’alerte vient d’elle ?

Selon l’article 33 du règlement général sur la protection des données (RGPD), les responsables du traitement des données personnelles ne sont pas tenus de notifier la Commission nationale de l’informatique et des libertés (CNIL) en cas de violation de données si la CNIL les a déjà informés de cette violation et a entamé un contrôle en conséquence. Mais faut-il alerter la CNIL ?

C’est en 2019, que la CNIL a informé M. C… que les images médicales de ses patients étaient accessibles à partir de l’adresse IP de son serveur et a engagé un contrôle en ligne de ses services.

La faille de sécurité informatique affectant l’installation de M. C… était grave, car elle a permis l’accès libre à plus de 5300 images médicales, accompagnées des noms, prénoms et dates de naissance des patients, des dates d’examen et des noms des professionnels de santé concernés.

Cette faille était imputable à l’installation informatique de M. C…, qui a reconnu avoir ouvert les ports réseau de sa box Internet pour faire fonctionner son VPN, avoir configuré lui-même le serveur du logiciel d’imagerie HOROS sans recourir à un prestataire, et avoir omis de mettre en place un dispositif de chiffrement des données personnelles sur son disque dur externe, ce qui a permis à toute personne ayant accès à ses appareils ou s’introduisant de manière non autorisée sur le réseau auquel ils étaient connectés d’accéder à ces données.

Le Conseil d’Etat a admis que M. C. soit sanctionné par la Commission nationale de l’informatique et des libertés (CNIL) pour « manquement aux exigences élémentaires en matière de sécurité informatique ».

Cependant, la CNIL n’aurait pas dû aller plus loin en sanctionnant M. C. pour manquement à l’obligation de notification de la violation des données personnelles imposée par l’article 33 du règlement général sur la protection des données (RGPD), car en raison des informations dont la CNIL disposait déjà et qui lui avaient permis d’engager un contrôle, ce manquement n’entrait pas dans le champ de cette obligation.

La CNIL a donc commis une erreur de droit en incluant cette sanction dans sa délibération. La réponse est donc NON.

DPO Partagé
DPO Partagé
Vous cherchez un DPO, confiez votre mission à DPO PARTAGE - Contactez nous au 07 56 94 70 90 ou par mail à contact@dpo-partage.fr DPO PARTAGE est le leader des DPO en données de santé et données sensibles.
Vous pouvez aimer

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Derniers articles

Derniers commentaires