Posted by Manquement aux obligations de sous-traitance : art 28 et 29 du RGPD
Défauts de sécurité à l’origine de violations des données médico-administratives : art 32 du RGPD
Délibération SAN-2022-009 du 15 avril 2022
Eléonore Scaramozzino, Avocat Partenaire, Constellation Avocats
La formation restreinte de la Cnil a sanctionné un éditeur de solutions logicielles à destination de laboratoires d’analyses médicales, appelées solutions de gestion de laboratoire, d’une amende de 1,5 million d’euros, pour des défauts de sécurité ayant conduit à la fuite de données médico-administratives de près de 500 000 personnes et non-respect des exigences des articles 28 et 29 du RGPD dans les contrats de sous-traitance et les conditions générales de vente.
Par ailleurs, la Cnil, et non l’éditeur a fait délivrer une assignation en référé d’heure à heure aux différents fournisseurs d’accès à Internet, afin que soit assuré le blocage effectif du fichier contenant les données de près de 500 000 patients. Par ordonnance du 4 mars 2021, le juge des référés du tribunal judiciaire de PARIS a enjoint aux opérateurs de télécom de mettre en œuvre ou de faire mettre en œuvre, sans délai et pour une période de 18 mois à compter de la présente décision toutes mesures les plus adaptées et les plus efficaces de surveillance ciblées de nature à assurer le blocage effectif du service de communication au public en ligne ” […] ” sur leurs réseaux “. Cette mesure à l’initiative de la Présidente de la Cnil et non de l’éditeur a permis de limiter les conséquences pour les personnes.
Les manquements au regard du RGPD relatifs à la sous-traitance (art 28-29)
Sur le manquement à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable de traitement (art 28)
La formation restreinte a relevé que les exigences de l’article 28 du RGPD n’apparaissent ni dans les contrats de sous-traitance, ni dans les conditions générales de vente adressées aux laboratoires, ni dans les contrats de maintenance conclus entre l’éditeur de logiciel et les laboratoires. L’éditeur, sous-traitant au sens du RGPD, transmet aux laboratoires ses propres conditions générales de vente qui font office d’encadrement contractuel au titre du RGPD. Dès lors, la formation restreinte a considéré que le fait de transmettre des contrats de sous-traitance non conformes aux dispositions de l’article 28 du RGPD constitue un manquement à l’article 28, paragraphe 3, du RGPD.
Sur le manquement à l’obligation pour le sous-traitant de ne traiter les données à caractère personnel que sur instruction du responsable de traitement
Dans le cadre d’un changement de logiciel, l’éditeur a extrait un volume de données plus important que celui requis dans le cadre de la migration demandée par ses clients, responsables de traitement. Le sous-traitant ne rapporte pas la preuve que le Responsable de traitement (RT) a validé les extractions réalisées. Le fait d’utiliser un outil inadapté ne peut pas justifier le non-respect des instructions du RT. La formation restreinte a considéré que la société a traité des données au-delà des instructions des responsables de traitement, ce qui constitue un manquement à l’article 29 du RGPD.
Les manquements à l’obligation d’assurer la sécurité des données (art 32)
La formation restreinte relève que le manquement reproché n’est pas constitué par les violations de données en tant que telles, mais par les défauts de sécurité qui sont à l’origine de l’intrusion sur les serveurs de la société, constatés lors des contrôles effectués par la CNIL. Elle souligne que cette proposition du rapporteur, visant à sanctionner les défauts de sécurité à l’origine de violations, s’inscrit dans la lignée de décisions précédentes de la formation restreinte. Ainsi, dans sa délibération n° SAN 2019-007 du 18 juillet 2019, la formation restreinte a relevé ” que les mesures élémentaires de sécurité n’avaient pas été prises en amont du développement de son site web [par la société sanctionnée], ce qui a rendu possible la survenance de la violation de données à caractère personnel “.
Sanction et publicité
La formation restreinte prononce une amende administrative au regard des manquements aux articles 28, paragraphe 3, 29 et 32 du RGPD. Elle rappelle que le paragraphe 3 de l’article 83 du Règlement prévoit qu’en cas de violations multiples, comme c’est le cas en l’espèce, le montant total de l’amende ne peut excéder le montant fixé pour la violation la plus grave. Dans la mesure où il est reproché à la société un manquement aux articles 28, 29 et 32 du RGPD, le montant maximum de l’amende pouvant être retenu s’élève à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Au vu des chiffres d’affaires et des résultats nets en 2019 et 2020, la formation restreint retient une amende de 1.500.000 €
Compte tenu de la gravité des manquements commis, particulièrement des manquements relatifs à la sécurité, du nombre de personnes concernées et des conséquences pour celles-ci, la formation restreinte considère que la publicité de la décision se justifie
