Information Commissioner’s Office, Monetary Penalty Notice du 18 octobre 2021 contre HIV Scotland

HIV Scotland est une asso­cia­tion cari­ta­tive four­nis­sant un soutien aux personnes séro­po­si­tives, à risque de contrac­ter le virus HIV ou soute­nant ces groupes. En juin 2019, l’association a décidé de se doter d’un compte MailChimp, plate­forme conçue et déve­lop­pée pour les entre­prises utili­sant les cour­riels pour atteindre leurs marchés cibles, afin de sécu­ri­ser l’envoi de ses messages grou­pés. Elle a progres­si­ve­ment migré ses listes de contacts sur cette plate­forme d’envoi de masse, sous réserve de celle de son HIV Scotland’s Community Advisory Network (CAN), qui n’a pas été trans­fé­rée. Ce réseau regroupe des défen­seurs de personnes séro­po­si­tives qui soutiennent et informent sur le travail de l’organisation ; ils reçoivent des mises à jour, prin­ci­pa­le­ment à l’occasion de leurs réunions trimestrielles.

Le 3 février 2020, HIV Scotland a envoyé, par le biais de Microsoft Outlook, un cour­riel à 105 parti­ci­pants indi­vi­duels du CAN pour un évène­ment. Au lieu de corres­pondre par copie cachée ou copie carbone invi­sible (« Cci »), l’association a utilisé la fonc­tion­na­lité copie carbone (« Cc »), dévoi­lant ainsi les adresses élec­tro­niques de tous les desti­na­taires. L’organisation a tenté de rappe­ler les cour­riels, mais a reçu des réponses l’alertant de l’incident.

Les adresses élec­tro­niques divul­guées consti­tuent des données à carac­tère person­nel au sens de l’art. 4 ch. 1 RGPD et leur divul­ga­tion consiste en une viola­tion de données à carac­tère sexuel (art. 4 ch. 12 RGPD). D’une part, 65 adresses conte­naient les noms et prénoms des desti­na­taires. Dans la mesure où leur parti­ci­pa­tion au sein d’une orga­ni­sa­tion soute­nant les personnes séro­po­si­tives est combi­née avec le contenu du cour­riel et l’ordre du jour, des données sensibles pouvaient être déduites, plus préci­sé­ment des données concer­nant la santé (art. 4 ch. 15 RGPD). D’autre part, même les adresses ne conte­nant ni nom ni prénom pouvaient être utili­sées pour iden­ti­fier des indi­vi­dus, en les combi­nant avec d’autres infor­ma­tions issues notam­ment de recherches inter­net. L’association aurait dû envoyer ses cour­riels en « Cci ».

Elle a par la suite contacté l’ICO et a noti­fié la viola­tion de données à carac­tère person­nel (art. 33 RGPD) quelques heures après ledit inci­dent. Elle a égale­ment envoyé un cour­riel d’excuses à l’ensemble des desti­na­taires, les a contac­tés pour présen­ter des excuses et deman­der la suppres­sion des cour­riels, a effec­tué un commu­ni­qué sur son site inter­net et s’est tenue à dispo­si­tion des personnes concer­nées en cas de dommage. Elle a fina­le­ment achevé la migra­tion de ses listes de contacts et bases de données sur MailChimp courant février 2020.

L’ICO a estimé que, bien que l’association eût pris des mesures, ces dernières n’étaient pas suffi­santes, raison pour laquelle une viola­tion de la confi­den­tia­lité des données s’est produite.

Tout d’abord, l’ICO recon­naît que HIV Scotland dispo­sait d’une poli­tique de confi­den­tia­lité publique dont ses colla­bo­ra­teurs devaient prendre connais­sance. Cependant, le renvoi des colla­bo­ra­teurs à cette poli­tique de confi­den­tia­lité externe ne suffi­sait pas pour four­nir les infor­ma­tions appro­priées pour le person­nel trai­tant des données person­nelles, en lien notam­ment avec la sécu­rité des données ; il aurait fallu dispo­ser d’une poli­tique spéci­fique sur le trai­te­ment sécu­risé des données person­nelles au sein de l’association.

Ensuite, il est vrai que l’association dispo­sait égale­ment d’une forma­tion conte­nant un module sur le RGPD et sensi­bi­li­sait ses colla­bo­ra­teurs à l’exigence de l’utilisation du « cci » pour les cour­riels grou­pés. Néanmoins, la forma­tion dispen­sée sur la protec­tion des données en ques­tion devait être complé­tée par les colla­bo­ra­teurs sur une base annuelle, ce qui n’est pas suffi­sant pour l’ICO qui estime qu’une forma­tion sur la protec­tion des données person­nelles devrait être effec­tuée avant l’accès d’un colla­bo­ra­teur à des données person­nelles, surtout sensibles, et au plus tard un mois après son entrée en fonction.

Finalement, l’association, qui avait décidé de se créer un compte MailChimp en juin 2019, avait migré la majeure partie de ses bases de données et de ses listes de contact vers la plate­forme en vue d’envoyer des cour­riels sécu­ri­sés sur toutes ses listes de diffu­sion. Bien que la plate­forme ait été acquise en juillet 2019, l’enquête de l’autorité anglaise a démon­tré que la migra­tion n’avait toujours pas été mise en œuvre de manière adéquate pour la liste CAN au moment de l’incident, soit début février 2020. Selon ses dires, l’association avait souhaité attendre l’évènement de février 2020 pour procé­der à cette migra­tion, crai­gnant que la commu­ni­ca­tion du 3 février 2020 termine, à cause de pertur­ba­tions, dans les dossiers indé­si­rables des desti­na­taires. Pour l’ICO, la situa­tion ne semble pas convain­cante et une mise en œuvre complète et correcte de MailChimp plus tôt aurait empê­ché la divul­ga­tion de données personnelles.

Pour ces motifs, l’ICO a conclu que HIV Scotland avait enfreint l’art. 5 par. 1 let. f RGPD en envoyant un cour­riel groupé plutôt que distinct à chaque desti­na­taire, en n’ayant pas effec­tué une migra­tion complète sur MailChimp et en n’utilisant pas la fonc­tion « Cci » dans son cour­rier élec­tro­nique. L’autorité a égale­ment conclu à une viola­tion de l’art. 32 par. 1 et 2 RGPD, dans la mesure où l’association n’avait pas pris les mesures adéquates compte tenu du risque induit par ses trai­te­ments de données à carac­tère personnel.

L’amende pronon­cée par l’ICO en vertu des art. 58 par. 2 et 83 RGPD est de £10’000. Elle a été calcu­lée compte tenu des circons­tances du cas d’espèce et d’éléments atté­nuants comme aggra­vants. L’ICO a soulevé le fait qu’il s’était déjà prononcé pour des cas simi­laires et que l’association le savait (cette dernière avait par ailleurs précé­dem­ment émis une critique sur un autre respon­sable du trai­te­ment sanc­tionné dans une situa­tion simi­laire). De plus, HIV Scotland devait être au courant de ses propres manque­ments en termes de sécu­rité. En outre, des consé­quences néga­tives ont résulté de la viola­tion du 3 février 2020, dès lors qu’il était possible de savoir que l’un des desti­na­taires était séro­po­si­tif ou qu’il soute­nait quelqu’un qui l’était. Une plainte formelle avait par ailleurs été dépo­sée par un desti­na­taire, qui rele­vait la divul­ga­tion de sa séro­po­si­ti­vité à des étran­gers, le privant ainsi du choix de le dire ou non à son entou­rage ; un senti­ment de détresse en avait découlé. L’ICO a égale­ment pris en consi­dé­ra­tion des éléments tels que le fait que la viola­tion avait été commise par négli­gence ou encore que HIV Scotland n’avait a priori pas commis d’infractions anté­rieures. La sanc­tion a été atté­nuée, dès lors que des mesures, certes insuf­fi­santes, avaient été prises préa­la­ble­ment à l’incident, et que, par la suite, l’association avait tenté de remé­dier à la viola­tion et implé­menté correc­te­ment MailChimp.

En Suisse, le minis­tère public pourra bien­tôt infli­ger une amende de 250 000 francs au plus pour non-respect inten­tion­nel des exigences mini­males de sécu­rité (art. 61 let. c nLPD). À l’inverse, pour les viola­tions de sécu­rité commises par négli­gence, il ne sera pas possible d’in­fli­ger direc­te­ment une sanc­tion pénale, mais la seule possi­bi­lité sera pour le PFPDT d’or­don­ner des mesures admi­nis­tra­tives (art. 51 al. 1 et l. 3 let. b LPD) assor­ties de la menace d’une amende allant jusqu’au même montant (art. 63 nLPD). Quelques semaines après la déci­sion de l’ICO au Royaume-Uni, l’Office du méde­cin canto­nal vaudois a fait fuiter, par erreur, les adresses élec­tro­niques d’individus non vacci­nés pour le Covid-19 dans un cour­riel groupé non anony­misé. La situa­tion juri­dique suisse diffé­re­rait de celle prévue par le droit euro­péen, que ce soit en termes de distinc­tion entre dol éven­tuel et négli­gence consciente ou de sanc­tions, et ce au-delà des ques­tions rela­tives à la viola­tion d’éventuels secrets.