Violation de données : est-il nécessaire de notifier la CNIL si elle est déjà informée ?

15 août 2022 / Blog

Le 22 juillet 2022, le Conseil d’Etat a rendu un arrêt intéressant relatif à la notification qu’il est nécessaire de réaliser auprès de la CNIL lorsqu’un traitement de données à caractère personnel a été compromis (n°449694).
Les faits sont les suivants: en 2019, la CNIL a informé un professionnel de santé que les images médicales de ses patients étaient en libre accès sur internet. Un contrôle réalisé dans la foulée a permis aux agents du service des contrôles de constater que la sécurité du système était tout à fait rudimentaire. Le responsable du traitement s’est ainsi vu condamner à payer une amende de 3.000 euros aux motifs 1) d’un manquement à l’obligation de sécurisation et 2) d’un manquement à l’obligation de notifier la CNIL d’une compromission du traitement engendrant un risque pour les personnes concernées.
Saisi du sujet, le Conseil d’Etat a admis que le responsable de traitement soit sanctionné s’agissant d’un (flagrant) défaut de sécurité. Néanmoins, il a estimé que le second fondement retenu l’avait été sur la base d’une erreur de droit, précisant « qu’en retenant à l’encontre de M. C… un manquement à l’obligation de notification de la violation des données personnelles imposée par l’article 33 du A…, alors qu’eu égard à l’information dont disposait déjà la CNIL et qui lui avait permis d’engager un contrôle, ce dernier n’entrait pas dans le champ de cette obligation« . Autrement dit, il n’est pas nécessaire de notifier la CNIL d’un incident dès lors qu’elle dispose déjà des informations. Cette solution semble tout à fait logique et pragmatique, mais n’a pas la portée qu’on pourrait vouloir lui prêter. Elle ne pourrait en effet que difficilement être généralisée sans soulever plusieurs questions.

Quand faut-il notifier à la CNIL ?

Aux termes de l’article 33 du RGPD, « en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente […] dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance « . Tel n’est pas le cas s’il est jugé que la violation n’engendre aucun risque pour les personnes concernées : par exemple, si un système a cessé de fonctionner pendant quelques heures mais que ce dysfonctionnement n’a eu aucun impact négatif sur les personnes.

Il est obligatoire de notifier la CNIL si les trois conditions suivantes sont remplies :

Un traitement de données personnelles est mis en œuvre,
Ce traitement a été compromis de manière volontaire ou non,
La compromission fait peser un risque sur les personnes concernées.

A la lecture de l’arrêt, l’on pourrait penser que l’arrêt du Conseil d’Etat en ajoute une nouvelle : il faut que la CNIL n’ait pas encore connaissance de la violation. La notification est une procédure formelle visant à informer la CNIL d’un évènement : dès lors, si celle-ci est déjà informée, notifier la violation ne serait pas requis. Manifestement, tel est le cas si c’est la CNIL qui informe le responsable de traitement de la violation. Mais peut-on généraliser cette solution, ou s’agit-il plutôt d’un arrêt d’espèce ? Pour le savoir, il faut analyser aussi bien la question du contenu d’une notification à la CNIL que celle de la forme qu’elle doit prendre.

Quel est le contenu d’une notification ?

L’article 33 du RGPD encadre également le contenu d’une notification à la CNIL. Ainsi, il est nécessaire d’y intégrer, au moins:

Une description de la nature de la violation ;
Si possible, les catégories et le nombre approximatif de personnes concernées ;
Si possible, les catégories et le nombre approximatif d’enregistrements de données concernés ;
L’identité et les informations de contact du délégué à la protection des données (ou tout autre point de contact) ;
Les conséquences probables de la violation ;
Les mesures mises en œuvre.

Dans le cas où le responsable de traitement n’aurait pas directement toutes les informations, il lui est possible de les fournir en plusieurs temps. Toute notification qui ne contiendrait pas ces éléments peut être considérée comme n’ayant pas été réalisée : autrement dit, la CNIL n’est valablement notifiée que si toutes les informations pertinentes lui ont été transmises.
S’agissant du contenu de la notification, la problématique soulevée par la solution est principalement probatoire : en admettant qu’il soit possible de prouver que la CNIL ne pouvait pas ignorer l’existence de la violation, comment un responsable de traitement pourrait-il savoir, et a fortiori prouver, que la CNIL dispose bien de toutes les informations ? Selon les circonstances, cette preuve pourrait éventuellement être apportée, mais les cas ne sont pas des plus fréquents. En tout cas, cette situation est très incertaine pour le responsable de traitement.

Dès lors, une tentative d’extension de la solution du Conseil d’Etat semble vouée à l’échec. Et c’est tant mieux, parce qu’il aurait pu, de manière incidente, ouvrir la porte à une nouvelle pratique qui consisterait à ne pas notifier et, dans le cas où la violation ferait l’objet d’une publication dans les médias, plaider que la CNIL était déjà informée. Il reste indispensable de procéder à une notification formelle : sa réalisation est rapide et permet d’éviter bien des questions.
Par ailleurs, une tentative de généralisation de la solution soulèverait également des problèmes de forme, inhérentes au droit administratif français.

Quelle est la forme d’une notification ?

Un autre cas peut être imaginé : le responsable de traitement échange avec la Commission sur cette violation, mais ne notifie pas formellement en utilisant l’outil dédié à cet effet. L’objectif de l’article 33 du RGPD est bien rempli, puisque la Commission est informée de la violation de données. Néanmoins, est-ce suffisant pour considérer que la CNIL est régulièrement informée ?
Dans un premier temps, il convient de préciser que la CNIL refuserait certainement d’être notifiée ainsi, puisque cela nuirait à l’automatisation des tâches, au suivi des dossiers et à leur bon traitement.
Mais ce n’est pas tout : la CNIL étant une autorité administrative, sa saisine doit intervenir dans les conditions posées par le droit administratif: « lorsqu'[une administration] a mis en place un téléservice réservé à l’accomplissement de certaines démarches administratives, [elle] n’est régulièrement saisie par voie électronique que par l’usage de ce téléservice » (article L. 112-9 du CRPA). Il convient de préciser que ce téléservice peut revêtir la forme d’une simple boîte mail.

Force est de constater que la CNIL a bien mis en place un téléservice permettant de la notifier de la survenance d’une violation de données à caractère personnel. En conséquence, et selon les termes du CRPA, il est possible de considérer que la Commission n’a pas été régulièrement notifiée si cela a été fait par un autre moyen que celui prévu à cet effet. Dès lors, un responsable de traitement souhaitant informer la CNIL doit obligatoirement le faire par le biais du téléservice, à défaut de quoi un manquement à l’obligation de notification pourrait être retenu. En revanche, si c’est la CNIL qui s’informe sur la violation par ses propres moyens (médias, contrôle, etc.), il n’est alors – en théorie – pas nécessaire de la notifier.
En pratique, l’une des missions qui est attribuée à la CNIL étant l’accompagnement des responsables de traitement, il y a fort à parier qu’une si la CNIL était saisie de manière irrégulière, elle prendrait le temps de guider le responsable de traitement dans l’accomplissement de la bonne démarche, voire accepterait la saisine si toutes les informations requises étaient présentes. Il me semble que, dans l’affaire qui nous occupe, le manquement à l’obligation de notification avait uniquement été retenue à titre subsidiaire, pour justifier un peu plus la décision de sanctionner le responsable de traitement.

En conclusion, cet arrêt ne remet pas en cause la nécessité de notifier la CNIL, sauf si c’est elle qui vous informe de la violation. Et c’est tant mieux: il n’est donc pas une porte ouverte à une nouvelle pratique qui consisterait à ne pas notifier et, dans le cas où la violation ferait l’objet d’une publication dans les médias, plaider que la CNIL était déjà informée. Il reste indispensable de procéder à une notification formelle : sa réalisation est rapide et permet d’éviter bien des questions.