Délibération SAN-2020-015 du 7 décembre 2020

Délibération de la formation restreinte no SAN-2020-015 du 7 décembre 2020 concernant Monsieur […]

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Messieurs Alexandre LINDEN, président, Philippe-Pierre CABOURDIN, vice-président, et de Mesdames Dominique CASTERA, Anne DEBET et Christine MAUGÜE, membres ;

Vu la Convention no 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;

Vu le décret no 2019-536 du 29 mai 2019 pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la décision no 2019-152C du 20 septembre 2019 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements notamment accessibles à partir de l’adresse IP portant le numéro […] ;

Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 27 juillet 2020 ;

Vu le rapport de Monsieur François PELLEGRINI, commissaire rapporteur, notifié [...] le 23 septembre 2020 ;

Vu les observations écrites versées par le conseil de Monsieur [...] le 22 octobre 2020 ;

Vu les observations orales formulées lors de la séance de la formation restreinte ;

Vu les autres pièces du dossier ;

Étaient présents, lors de la séance de la formation restreinte du 3 décembre 2020 :

  • Monsieur François PELLEGRINI, commissaire, entendu en son rapport ;

En qualité de représentant de Monsieur [...] :

  • Maître […] ;

M. […], délégué à la protection des données et informaticien, a été entendu en application de l’article 22, paragraphe 1, de la loi no 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Monsieur [...] ayant eu la parole en dernier ;

La formation restreinte a adopté la décision suivante :

I.Faits et procédure

  1. M. […] exerce une activité libérale dans un cabinet […] à Paris […].
  2. Le […], une enquête de la société de sécurité informatique […], relayée par le site web […], a signalé l’accès libre à des serveurs informatiques d’imagerie médicale situés […] permettant la consultation et le téléchargement […] d’images médicales (IRM, radios, scanners, etc…) suivies notamment des nom, prénoms, date de naissance et date de consultation des patients.
  3. En application de la décision n° 2019-152C du 20 septembre 2019 de la présidente de la Commission nationale de l’informatique et des libertés (ci-après la CNIL ou la Commission), les services de la CNIL ont procédé à un contrôle en ligne, les 20 et 24 septembre 2019, qui a confirmé le caractère librement accessible de ces données, exploitables par l’intermédiaire d’un simple logiciel de consultation d’images médicales. Le contrôle a également permis d’établir la liste des adresses IP de ces serveurs qui sont localisées en France.
  4. Ces missions avaient notamment pour objet de vérifier le respect, par les attributaires de ces adresses IP, de l’ensemble des dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après le Règlement ou le RGPD ) et de la loi no 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après la loi informatique et libertés ).
  5. Après avoir demandé aux différents fournisseurs d’accès à Internet de leur communiquer l’identité et les coordonnées des responsables de traitement utilisant ces adresses IP françaises, les services de la CNIL ont été informés que l’une de ces adresses, portant le numéro […] , avait pour attributaire M. [...].
  6. Par un courrier électronique du 2 octobre 2019, la délégation de contrôle a notifié le contrôle en ligne à M. [...], après l’avoir informé du caractère librement accessible des images médicales de ses patients à partir de l’adresse IP de son serveur.
  7. Par un courrier électronique du même jour, M. [...] a répondu avoir pris les mesures nécessaires pour mettre fin à la violation.
  8. Le 17 décembre 2019, M. [...], assisté de son conseil, a été auditionné par la délégation de contrôle dans les locaux de la CNIL. Il a indiqué avoir, en 2015, paramétré son logiciel d’imagerie [...] pour pouvoir transférer automatiquement des images issues de son équipement de radiographie vers la base de données de son logiciel d’imagerie hébergée dans son cabinet et accéder à distance aux images.
  9. Par courrier du 7 janvier 2020, M. [...] a fait parvenir à la délégation de contrôle plusieurs documents sollicités dans le cadre de son audition, tels que la volumétrie des images contenues dans la base de données du logiciel d’imagerie médicale ainsi que les registres des traitements de données à caractère personnel mis en œuvre dans son cabinet.
  10. Par courrier du 20 janvier 2020, M. [...] a fait parvenir à la délégation de contrôle des documents rendant compte du renforcement des mesures de sécurité apportées au dispositif d’imagerie médicale de son cabinet.
  11. Aux fins d’instruction de ces éléments, la présidente de la Commission a désigné M. François PELLEGRINI en qualité de rapporteur, le 27 juillet 2020, sur le fondement de l’article 22 de la loi informatique et libertés .
  12. À l’issue de son instruction, le rapporteur a fait remettre en main propre à M. [...], le 23 septembre 2020, un rapport détaillant les manquements au RGPD qu’il estimait constitués en l’espèce. Le même jour, les services de la CNIL ont notifié à ce dernier une convocation à la séance de la formation restreinte du 3 décembre 2020.
  13. Ce rapport proposait à la formation restreinte de la Commission de prononcer une amende administrative à l’encontre de M. [...] au titre de manquements aux articles 32 et 33 du Règlement.
  14. Le 22 octobre 2020, par l’intermédiaire de son conseil, M. [...] a produit des observations et formulé une demande pour que la séance devant la formation restreinte se tienne à huis clos.
  15. Le 29 octobre 2020, le président de la formation restreinte a fait droit à cette demande au motif que les données à caractère personnel versées au débat étaient protégées par le secret médical.
  16. M. [...] et le rapporteur ont présenté des observations orales lors de la séance de la formation restreinte.

II.Motifs de la décision

A.Sur le manquement à l’obligation d’assurer la sécurité des données traitées

17. Aux termes de l’article 32, paragraphe 1, du RGPD, le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque .

18. Les a) et b) de ce même paragraphe 1 prévoient qu’en fonction notamment de la portée, du contexte et des finalités du traitement ainsi que des risques pour les personnes concernées, le responsable de traitement met en œuvre le chiffrement des données à caractère personnel et des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement .

19. Le rapporteur fait valoir que la vulnérabilité du dispositif d’imagerie médicale à l’origine de la violation de données est imputable à M. [...] qui n’a pas mis en œuvre les mesures techniques appropriées pour garantir la sécurité du traitement.

20. M. [...] répond notamment n’être pas à l’origine de la violation de données dès lors que le paramétrage de la box Internet, qui sert de routeur à son matériel informatique professionnel, a selon lui été effectué par des prestataires externes au cabinet. Il reconnaît toutefois ne pas être en mesure de prouver la matérialité de ces interventions, n’en n’ayant conservé aucun compte rendu.

21. La formation restreinte relève qu’en application de l’article 32 du RGPD, c’est à M. [...] qu’il incombait, en tant que responsable de traitement, de veiller à la sécurité des données qu’il traitait, la détermination de l’auteur du paramétrage de la box Internet étant inopérante en l’espèce.

22. Tout d’abord, la formation restreinte souligne qu’il n’est pas contesté que la violation de données a pour cause l’ouverture des ports réseaux de la box Internet utilisée au cabinet de M. [...] couplée au paramétrage de la fonction serveur ( PACS ) du logiciel d’imagerie [...].

23. Elle relève que dans son courrier électronique du 2 octobre 2019, M. [...] a indiqué : Je ne me sers pas d’un PACS au cabinet car nous visionnons directement les clichés réalisés sur le réseau Ethernet sécurisé . Par ailleurs, dans le cadre de son audition du 17 décembre 2019, il a précisé avoir mis en œuvre l’accès à distance aux images en 2015 et n’avoir pas eu recours à un prestataire pour l’installation et le paramétrage du logiciel [...] . Il ressort donc de ces éléments que M. [...] n’avait pas pris soin de limiter les fonctions réseaux à celles qui étaient strictement nécessaires au fonctionnement du traitement.

24. Or, la formation restreinte souligne que la protection du réseau informatique interne et le chiffrement des données à caractère personnel font partie des exigences élémentaires en matière de sécurité informatique, qui incombent à tout responsable de traitement.

A cet égard, dans le guide La sécurité des données personnelles , qui offre un éclairage utile aux responsables de traitement quant aux mesures à mettre en œuvre afin de garantir la sécurité de leur traitement, la Commission recommande d’ autoriser uniquement les fonctions réseau nécessaires aux traitements mis en place . De même, le Guide pratique pour les médecins , publié par la CNIL en concertation avec le Conseil national de l’ordre des médecins, invite les médecins à limiter le plus possible la connexion d’appareils non professionnels sur le réseau au sein duquel sont traitées les données des patients, ainsi qu’à recourir à des moyens d’authentification forte pour accéder à ce réseau.

25. Ensuite, la formation restreinte souligne qu’il ressort également de l’audition du 17 décembre 2019 que M. [...] n’avait pas non plus pris soin de chiffrer les données contenues dans son ordinateur portable personnel, estimant que le chiffrement ralentit trop l’exécution des applications (dossier médical, outil de visualisation des images) .

26. Or, en l’absence de chiffrement, les données médicales contenues dans le disque dur de cet ordinateur étaient lisibles en clair par toute personne prenant possession de cet appareil (par exemple, à la suite de sa perte ou de son vol) ou par toute personne s’introduisant de manière indue sur le réseau auquel cet ordinateur était raccordé.

27. A cet égard, dans son guide La sécurité des données personnelles , la CNIL recommande de prévoir des moyens de chiffrement des postes nomades et supports de stockage mobiles (ordinateur portable, clés USB, disque dur externes, CD-R, DVD-RW, etc.), par exemple via le chiffrement du disque dur dans sa totalité lorsque le système d’exploitation le propose, le chiffrement fichier par fichier ou la création de conteneurs (fichier susceptible de contenir plusieurs fichiers) chiffrés. De même, le Guide pratique pour les médecins invite les médecins à procéder au chiffrement des données de leurs patients avec un logiciel adapté.

28. Enfin, la formation restreinte relève que le traitement en cause concerne des données médicales, qui constituent des catégories particulières de données à caractère personnel, au sens de l’article 9 du Règlement. La nature de ces informations appelait donc une vigilance toute particulière afin d’éviter une violation de données.

29. Elle rappelle ainsi que parmi les données concernées par la violation figuraient, outre l’image médicale, les nom, prénoms et date de naissance du patient, la date de réalisation de l’examen, le nom du praticien référent et du praticien ayant réalisé l’examen et le nom de l’établissement dans lequel l’examen a eu lieu.

30. Elle souligne qu’il ressort des propres déclarations de M. [...] dans le cadre de son audition du 17 décembre 2019 que plus de mille deux cents séries d’images médicales sont concernées.

31. Enfin, elle relève qu’il ressort du dossier que ces données ont été exposées environ cinq ans.

32. Au regard de l’ensemble de ces éléments, la formation restreinte considère qu’un manquement à l’article 32 du RGPD est constitué.

B.Sur le manquement à l’obligation de notifier la violation de données à la CNIL

33. Aux termes de l’article 33, paragraphe 1, du RGPD, en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance .

34. Le rapporteur fait valoir que le M. [...] n’a pas déclaré la violation de données auprès des services compétents de la Commission.

35. M. [...] répond que la nécessité de notifier la violation de données à la Commission ne lui a jamais été indiquée. Il invoque, par ailleurs, le caractère artificiel d’une telle obligation dès lors qu’il a eu connaissance du libre accès de la base de données de son logiciel d’imagerie médicale par la délégation de contrôle de la CNIL.

36. La formation restreinte considère que le responsable de traitement doit, en toute circonstance, respecter l’exigence de notification prévue à l’article 33 du Règlement à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. La circonstance que la violation de données avait été portée à la connaissance de M. [...] par le service des contrôles de la CNIL ne le déchargeait pas de cette obligation.

37. En effet, consécutivement au contrôle, le responsable de traitement peut avoir connaissance d’éléments complémentaires relatifs à la violation de données qui méritent d’être communiqués aux services compétents de la CNIL, lesquels ont notamment pour mission de centraliser les différentes violations de données et d’en assurer le suivi afin de prévenir la compromission de données à caractère personnel. Un téléservice est disponible sur le site de la CNIL pour effectuer ces notifications.

38. En l’espèce, la formation restreinte rappelle que l’existence et la nature de l’obligation de notification figuraient dans le courrier électronique du 2 octobre 2019 qui informait M. [...] de ladite violation de données.

39. La formation restreinte relève qu’au 24 septembre 2020, jour de la notification du rapport de sanction, M. [...] n’avait toujours pas notifié la violation de données à la Commission, alors qu’il en avait connaissance depuis le 2 octobre 2019.

40. La formation restreinte considère donc qu’un manquement à l’article 33 du Règlement est constitué.

III.Sur les mesures correctrices et la publicité

41. Aux termes du III de l’article 20 de la loi informatique et libertés :

Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou, le cas échéant en complément d'une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : […]

7° À l'exception des cas où le traitement est mis en œuvre par l'État, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83.

42. L’article 83 du RGPD prévoit :

1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.

2. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l'article 58, paragraphe 2, points a) à h), et j). Pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de l'amende administrative, il est dûment tenu compte, dans chaque cas d'espèce, des éléments suivants :

a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi ;

b) le fait que la violation a été commise délibérément ou par négligence ;

c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ;

d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en œuvre en vertu des articles 25 et 32 ;

e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant ;

f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs ;

g) les catégories de données à caractère personnel concernées par la violation ;

h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation ;

i) lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures ;

j) l'application de codes de conduite approuvés en application de l'article 40 ou de mécanismes de certification approuvés en application de l'article 42 ; et

k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.

43. Concernant le prononcé d’une amende administrative, M. [...] estime notamment que la mesure correctrice proposée par le rapporteur est disproportionnée au regard de sa responsabilité dans la violation de données.

44. Il revendique également le fait d’avoir réagi très rapidement pour mettre un terme à la violation dès qu’il en a eu connaissance par la délégation, et souligne qu’il s’est, pour cela, entouré de spécialistes compétents.

45. Il fait valoir, en outre, avoir mis en œuvre de nombreuses mesures de sécurité avant l’audition et souligne sa pleine coopération avec les services de la Commission.

46. La formation restreinte rappelle que pour apprécier l’opportunité de prononcer une amende administrative il convient de se référer aux critères pertinents précisés par l’article 83, paragraphe 2, du RGPD.

47. En l’espèce, elle estime qu’il convient de faire d’abord application du critère prévu à l’alinéa f) de l’article 83, paragraphe 2, du Règlement relatif au degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs.

48. La formation restreinte relève que dès qu’il a eu connaissance de la violation, M. [...] a pris les mesures nécessaires permettant d’y mettre un terme aussitôt.

49. Elle rappelle ainsi que dans son courrier électronique du 2 octobre 2019 en réponse à la délégation de contrôle, M. [...] a indiqué avoir fait supprimer purement et simplement ce PACS logiciel dès la réception de votre appel et avoir écrit une procédure interne pour éviter qu’à l’avenir un prestataire n’ouvre un port ou un PACS sur le serveur et qu’il soit possible de se connecter dessus comme vous semblez avoir pu le faire .

50. Elle souligne également qu’il s’est, par la suite, entouré de prestataires, dont la société […], afin de renforcer les mesures de sécurité apportées au dispositif d’imagerie médicale du cabinet, à travers notamment le chiffrement du disque dur de démarrage et l’installation d’un certificat SSL destiné au serveur web du logiciel [...].

51. Cependant, la formation restreinte souligne qu’il convient de faire également application des critères prévu aux alinéas a) et g) de l’article 83, paragraphe 2, du Règlement relatifs, d’une part, à la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et d’autre part, aux catégories de données à caractère personnel concernées par la violation.

52. Elle relève ainsi que M. [...] a failli à deux principes élémentaires en matière de sécurité informatique, à savoir la protection du réseau informatique interne par la limitation des flux réseau au strict nécessaire et le chiffrement des données à caractère personnel.

53. La formation restreinte souligne à nouveau que la gravité du manquement à l’article 32 du RGPD est d’autant plus caractérisée que des données de santé sont concernées et que cette catégorie particulière de données à caractère personnel doit bénéficier de mesures de sécurité renforcées, conformément au considérant 75 du RGPD.

54. Elle répète que le non-respect de ces pratiques élémentaires a eu pour conséquence directe de rendre accessibles plus de mille deux cents séries de données de santé comprenant, pour chacune de ces séries, outre l’image médicale, les nom, prénoms et date de naissance de chaque patient, la date de réalisation de l’examen, le nom du praticien référent et du praticien ayant réalisé l’examen et le nom de l’établissement dans lequel l’examen a eu lieu.

55. Elle rappelle que les données à caractère personnel hébergées sur la base de données du logiciel d’images [...] sont restées accessibles sans aucune authentification pendant une durée d’un peu moins de cinq ans, prolongeant de la sorte le risque que des tiers non autorisés accèdent aux données et puissent éventuellement les compromettre.

56. Enfin, la formation restreinte souligne qu’il convient également de faire application du critère prévu à l’alinéa h) de l’article 83, paragraphe 2, du Règlement relatif à la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement a notifié la violation.

57. Elle rappelle en l’occurrence que la Commission a eu connaissance de la violation de données par le biais d’un article de presse et que M. [...] ne l’a jamais notifiée aux services compétents de la Commission, même après que la délégation de contrôle a attiré son attention sur ce point.

58. Au regard de ces éléments, la formation restreinte considère donc nécessaire le prononcé d’une amende administrative à l’encontre de M. [...].

59. Concernant la détermination du montant de cette amende, la formation restreinte considère que le manquement à l’article 32 du RGPD présente une gravité certaine, qu’en revanche le manquement à l’article 33 présente en l’espèce un caractère formel.

60. Elle note que selon ses déclarations lors de la séance du 3 décembre 2020, M. [...] indique gagner environ 8 000 € par mois et qu’en application des dispositions de l’article 83, paragraphe 4, du RGPD, il encourt une sanction financière d’un montant maximum de 10 millions d’euros.

61. Dès lors, au regard des capacités financières de M. [...] et des critères pertinents de l’article 83, paragraphe 2, du Règlement, la formation restreinte estime que le prononcé d’une amende de 6 000 € apparaît à la fois effectif, proportionné et dissuasif, conformément aux exigences de l’article 83, paragraphe 1, de ce Règlement.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide de :

  • prononcer à l’encontre de M. [...] une amende administrative d’un montant de 6 000 € (six mille euros) pour les manquements aux articles 32 et 33 du RGPD ;
  • rendre publique cette décision sur le site de la CNIL et sur le site de Légifrance sans identifier le responsable de traitement.

Le président

Alexandre LINDEN

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.

Retourner en haut de la page