Le 22 juillet 2022, le Conseil d’Etat a rendu un arrêt intéressant relatif à la notification qu’il est nécessaire de réaliser auprès de la CNIL lorsqu’un traitement de données à caractère personnel a été compromis (n°449694).
Les faits sont les suivants: en 2019, la CNIL a informé un professionnel de santé que les images médicales de ses patients étaient en libre accès sur internet. Un contrôle réalisé dans la foulée a permis aux agents du service des contrôles de constater que la sécurité du système était tout à fait rudimentaire. Le responsable du traitement s’est ainsi vu condamner à payer une amende de 3.000 euros aux motifs 1) d’un manquement à l’obligation de sécurisation et 2) d’un manquement à l’obligation de notifier la CNIL d’une compromission du traitement engendrant un risque pour les personnes concernées.
Saisi du sujet, le Conseil d’Etat a admis que le responsable de traitement soit sanctionné s’agissant d’un (flagrant) défaut de sécurité. Néanmoins, il a estimé que le second fondement retenu l’avait été sur la base d’une erreur de droit, précisant « qu’en retenant à l’encontre de M. C… un manquement à l’obligation de notification de la violation des données personnelles imposée par l’article 33 du A…, alors qu’eu égard à l’information dont disposait déjà la CNIL et qui lui avait permis d’engager un contrôle, ce dernier n’entrait pas dans le champ de cette obligation« . Autrement dit, il n’est pas nécessaire de notifier la CNIL d’un incident dès lors qu’elle dispose déjà des informations. Cette solution semble tout à fait logique et pragmatique, mais n’a pas la portée qu’on pourrait vouloir lui prêter. Elle ne pourrait en effet que difficilement être généralisée sans soulever plusieurs questions.
