Selon l’article 33 du règlement général sur la protection des données (RGPD), les responsables du traitement des données personnelles ne sont pas tenus de notifier la Commission nationale de l’informatique et des libertés (CNIL) en cas de violation de données si la CNIL les a déjà informés de cette violation et a entamé un contrôle en conséquence. Mais faut-il alerter la CNIL ?
C’est en 2019, que la CNIL a informé M. C… que les images médicales de ses patients étaient accessibles à partir de l’adresse IP de son serveur et a engagé un contrôle en ligne de ses services.
La faille de sécurité informatique affectant l’installation de M. C… était grave, car elle a permis l’accès libre à plus de 5300 images médicales, accompagnées des noms, prénoms et dates de naissance des patients, des dates d’examen et des noms des professionnels de santé concernés.
Exclusivité DPO PARTAGE
Vos questions sur le RGPD
Gratuitement, poser vos questions sur la conformité RGPD.
Une réponse sous 24/48h à votre problématique.
Cette faille était imputable à l’installation informatique de M. C…, qui a reconnu avoir ouvert les ports réseau de sa box Internet pour faire fonctionner son VPN, avoir configuré lui-même le serveur du logiciel d’imagerie HOROS sans recourir à un prestataire, et avoir omis de mettre en place un dispositif de chiffrement des données personnelles sur son disque dur externe, ce qui a permis à toute personne ayant accès à ses appareils ou s’introduisant de manière non autorisée sur le réseau auquel ils étaient connectés d’accéder à ces données.
Le Conseil d’Etat a admis que M. C. soit sanctionné par la Commission nationale de l’informatique et des libertés (CNIL) pour “manquement aux exigences élémentaires en matière de sécurité informatique”.
Cependant, la CNIL n’aurait pas dû aller plus loin en sanctionnant M. C. pour manquement à l’obligation de notification de la violation des données personnelles imposée par l’article 33 du règlement général sur la protection des données (RGPD), car en raison des informations dont la CNIL disposait déjà et qui lui avaient permis d’engager un contrôle, ce manquement n’entrait pas dans le champ de cette obligation.
La CNIL a donc commis une erreur de droit en incluant cette sanction dans sa délibération. La réponse est donc NON.