Par Gérard Haas, Anne Charlotte Andrieux et Théophile Tsimaratos
Le 21 avril 2022, la Commission Nationale de l’Informatique et des Libertés (CNIL), a sanctionné un sous-traitant à hauteur de 1,5 millions d’euros suite à une divulgation massive de données de santé, révélée en 2021.
La Commission a estimé que le leader européen des systèmes de gestion de laboratoire (SIL) a contribué, par négligence, à la violation de données de santé de plus de 500 000 patients.
Pour calculer le quantum de l’amende, la CNIL relève notamment un manquement à l’obligation d’assurer la sécurité des données[1] et à l’obligation d’agir sur instructions du responsable de traitement[2].
L’originalité de cette décision réside dans la sanction du sous-traitant pour défaut d’encadrement contractuel des traitements de données[3]. La Commission reconnait la responsabilité du sous-traitant sur le fondement de l’article 28 du RGPD pour n’avoir pas intégré, par défaut, les mentions obligatoires au sein de ses contrats standards. Cette décision s’inscrit dans la continuité des récentes décisions de la CNIL tendant à faire peser une responsabilité accrue sur les prestataires de service, a fortiori lorsque des données de santé sont concernées.
La négligence de l’éditeur de logiciel à l’origine de la fuite
La CNIL rappelle que l’éditeur de logiciel intervient en qualité de sous-traitant des laboratoires de biologie médicale et que le RGPD lui impose des obligations règlementaires strictes pour assurer la sécurité des informations médicales ou encore de traiter ces dernières sur instruction des laboratoires.
Le 21 février 2021, un article de presse, publié dans Libération, portait à la connaissance du grand public la fuite massive de données de santé de près de 500 000 patients.
La CNIL s’est aussitôt saisie et a opéré des contrôles auprès du groupe Dedalus.
Au cours de son enquête, l’autorité administrative a identifié que la fuite de données provenait d’un serveur sur lequel étaient hébergées les données médicales issues d’un logiciel commercialisé par la société. L’enquête démontre que malgré plusieurs alertes préalables au sujet de la porosité de ce serveur, le sous-traitant n’a pas mis en place les mesures adéquates pour renforcer sa sécurité.
La CNIL a pris l’initiative d’un référé d’heure à heure afin d’obtenir la suspension de l’accès au contenu litigieux auprès des fournisseurs d’accès internet (FAI). En présence de tels manquements, l’autorité administrative a également décidé de rendre publique sa décision.
Les nombreuses violations du RGPD commises par le sous-traitant
La CNIL s’attache à démontrer que l’éditeur de logiciel s’est rendu coupable d’atteinte à trois obligations importantes du droit des données personnelles :
Le manquement à l’encadrement contractuel des traitements
Le troisième paragraphe de l’article 28 du RGPD oblige le responsable et le sous-traitant d’encadrer le traitement par un contrat. Plusieurs clauses sont imposées au sous-traitant notamment sur les mesures de sécurité prévues par l’article 32, mais aussi de veiller à la confidentialité des données personnelles.
L’enquête de la CNIL démontre que le contrat de maintenance, liant les laboratoires à l’éditeur de logiciel, tout comme les conditions générales de vente ne comportent pas les mentions obligatoires imposées par le RGPD. Au regard de ces manquements et de la gravité des faits, l’autorité administrative considère qu’il y a eu violation du droit des données personnelles, ce que ne conteste pas l’éditeur de logiciel.
L’agissement sans instruction du responsable de traitement
La lettre de l’article 29 du RGPD est claire, le sous-traitant agit sur instructions du responsable de traitement. Il est dès lors reproché au sous-traitant d’avoir extrait un volume de données plus important que celui requis dans le cadre de la mission de migration qui lui incombait.
Le manquement à l’obligation de sécurité des données
L’article 32 du RGPD dispose que le sous-traitant doit mettre en œuvre des mesures pour assurer la sécurité des données. A ce titre, il appartient au prestataire de mettre en œuvre des moyens adaptés aux risques pour garantir la confidentialité de ces données, a fortiori lorsque des données de santé sont concernées.
La CNIL relève que plusieurs alertes sur le niveau de sécurité des serveurs, provenant d’un salarié mais aussi de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), étaient restées sans réponse. L’enquête démontre également que l’éditeur de logiciel n’avait prévu aucune procédure spécifique pour assurer le chiffrement des données lors de leur migration vers le serveur litigieux.
Le rapporteur relève plus particulièrement que, dès le mois de mars 2020, un ancien salarié de la société Dedalus Biologie avait informé son employeur des défauts de sécurité. La CNIL relève également qu’au mois de novembre 2020 l’ANSSI avait établi un rapport faisant état de la fuite sur le darknet de 56 lignes de données, ce dont Dedalus a été informée.
De nombreux manquements techniques et organisationnels ont été relevés au cours du contrôle de la CNIL : absence de procédure de migration des données, absence de chiffrement des données sur le serveur FTP, absence d’effacement automatique des données après la migration, absence d’authentification requise depuis internet pour accéder à la zone publique du serveur FTP, utilisation de comptes partagés entre plusieurs salariés de la zone privée du serveur et absence de procédure de supervision et de remontée d’alertes de sécurité sur le serveur.
***
Cette décision marque un tournant dans la jurisprudence de la CNIL. La Commission reconnait la responsabilité du sous-traitant pour manquement à l’article 28 du RGPD pour n’avoir pas intégré, par défaut, les mentions obligatoires au sein de ses contrats standards.
L’engagement de la responsabilité exclusive du sous-traitant sur le fondement de l’article 28 vient renforcer la jurisprudence de la CNIL en faveur d’une responsabilité accrue des prestataires sous-traitants.
Cette décision s’inscrit dans la droite ligne de la précédente sanction prononcée par la CNIL le 27 janvier 2021 par laquelle la Commission venait sanctionner un responsable de traitement et sous-traitant, départageant ainsi le niveau de responsabilité incombant à chaque partie.
Il en résulte que les sous-traitants doivent veiller à un formalisme rigoureux dans la rédaction de leurs conditions générales en veillant à inclure par principe des mentions obligatoires issues du RGPD.
***
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de vingt-cinq ans en matière de nouvelles technologies, accompagne ses clients dans différents domaines du droit et notamment en matière de protection des données personnelles. Si vous souhaitez avoir plus d’informations au regard de la réglementation en vigueur, n’hésitez pas à faire appel à nos experts pour vous conseiller. Pour en savoir plus, contactez-nous ici.
[1] Article 32 RGPD
[2] Article 29 du RGPD
[3] Article 28 RGPD