Faut-il alerter la CNIL… alors que c’est elle qui vous a alerté ?

Réponse logique du Conseil d’Etat : NON bien sûr.

Il résulte du paragraphe 1 de l’article 33 du règlement (UE) 2016/679 du 27 avril 2016 (RGPD) que l’obligation de notifier à la Commission nationale de l’informatique et des libertés (CNIL) une violation de données à caractère personnel susceptible de faire naître un risque pour les droits et libertés des personnes physiques ne s’impose pas au responsable du traitement dans le cas où la CNIL l’a elle-même informé de cette violation et a engagé son contrôle sur la base des informations portées à sa connaissance par ailleurs.

En l’espèce, par courriel en 2019, la CNIL a informé M. C… du libre accès des images médicales de ses patients à partir de l’adresse IP de son serveur et de l’engagement en conséquence d’un contrôle en ligne par ses services.

La faille de sécurité informatique affectant l’installation de M. C… n’était pas anodine : elle a conduit à mettre en libre accès plus de cinq mille trois cents images médicales, assorties des nom, prénom et date de naissance des patients, de la date de réalisation de l’examen et du nom des praticiens concernés.

Le tout était imputable à l’installation informatique de M. C…, qui a admis avoir, d’une part, procédé à l’ouverture des ports réseaux de la  » box Internet  » utilisée à son domicile pour faire fonctionner son  » VPN « , dont il avait paramétré lui-même la fonction serveur du logiciel d’imagerie  » HOROS  » sans recourir à un prestataire et, d’autre part, omis de mettre en place un dispositif de chiffrement des données à caractère personnel figurant sur son disque dur externe, ce qui permettait à toute personne prenant possession de ses appareils ou s’introduisant de manière indue sur le réseau auquel ces appareils étaient raccordés de prendre connaissance de ces données.

Gloups.

Le Conseil d’Etat a donc évidemment admis que M. C. soit sanctionné par la CNIL pour « manquement aux exigences élémentaires en matière de sécurité informatique qui incombe à tout responsable de traitement ».

Mais la CNIL aurait du s’arrêter là : censurer en plus M. C… pour manquement à l’obligation de notification de la violation des données personnelles imposée par l’article 33 du A…, alors qu’eu égard à l’information dont disposait déjà la CNIL et qui lui avait permis d’engager un contrôle, ce dernier n’entrait pas dans le champ de cette obligation, la CNIL a entaché sa délibération d’une erreur de droit.

Source : Conseil d’État, 22 juillet 2022, n° 449694, à mentionner aux tables du recueil Lebon