Selon une décision du Conseil d’Etat (n° 449694 du 22/07/22), la CNIL ne peut sanctionner un responsable de traitement d’un défaut de notification à elle-même d’une violation de données personnelles (en l’espèce l’accès laissé libre via 01net.com par un chirurgien orthopédiste à des images médicales de ses patients à partir de l’adresse IP de son serveur) si la CNIL disposait déjà de cette information, ce qui a déclenché son opération de contrôle dudit chirugien.
Deux leçons rafraichissantes à retenir de cette décision :
1ere leçon : si la CNIL informe elle-même un responsable de traitement qu’il est victime d’une violation de données personnelles, le Conseil d’Etat juge qu’il est inutile de convoquer KAFKA dans la procédure en obligeant le responsable de traitement à informer la CNIL de ce dont elle vient de l’informer…
Décision réconfortante de la part de la plus haute juridiction administrative et qui borne l’univers de la conformité qui peut paraître parfois envahissant. Sur la boussole de la conformité et des autorités de tutelle, le Nord doit pointer vers l’intérêt protégé par la règle.
Seconde leçon intéressante à retenir de cette affaire et qui ravira les prestataires informatiques ; il résulte implicitement des constats rapportés, tant par la CNIL que par le Conseil d’Etat, que :
– pour justifier avoir satisfait a minima à son obligation de moyen de sécurité informatique (à défaut d’avoir atteint le résultat attendu en la matière),
– il est hautement préférable d’être en mesure de justifier avoir délégué cette mission de sécurisation à un professionnel de l’informatique, plutôt que d’être contraint d’avouer avoir paramétré soi-même sa sécurité « a la mano » ! Avis aux informaticiens du dimanche…
https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2022-07-22/449694