Autorité belge de protec­tion des données, déci­sion de la chambre conten­tieuse 127/​2022 du 19 août 2022

Une personne ayant plusieurs rela­tions avec un labo­ra­toire d’analyses médi­cales dépose plainte après s’être rendu compte que le site inter­net du labo­ra­toire d’analyses médi­cales contient une page d’accès aux données d’analyse pour les méde­cins utili­sant un proto­cole http non sécu­risé. En outre, le plai­gnant reproche au labo­ra­toire de ne pas avoir effec­tué d’analyse d’impact sur la protec­tion des données et de ne pas avoir informé correc­te­ment les personnes concernées.

Pour commen­cer, l’Autorité belge de protec­tion des données (Gegevensbeschermingsautoriteit) établit la qualité de respon­sable du trai­te­ment. Le labo­ra­toire d’analyses médi­cales, niant d’abord cette qualité, s’y accom­mode fina­le­ment, dans la mesure où il déter­mine les fina­li­tés et les moyens du trai­te­ment (art. 4 ch. 7 RGPD).

La page d’accueil du site du labo­ra­toire renvoie à une autre de ses pages sous la rubrique « Consulter les résul­tats », qui renvoie à son serveur de résul­tats en ligne, le « Cyberlab ». Ce serveur permet aux méde­cins de consul­ter en temps réel les résul­tats et l’historique des analyses de leurs patients. Le site web de la défen­de­resse ne contient pas de chif­fre­ment car il utilise un proto­cole « http » (Hyper Text Transfer Protocol) au lieu d’un proto­cole chif­fré « https » (Hyper Text Transfer Protocol Secure). Partant, les iden­ti­fiants et mots de passe sont collec­tés et trans­mis en clair. L’utilisation de ce type de proto­cole entraîne un risque d’attaque du type man-in-the-middle. L’utilisation du proto­cole « http » est consi­dé­rée par l’Autorité belge de protec­tion des données comme une viola­tion du prin­cipe et des obli­ga­tions de sécu­rité des données auxquelles est soumise la défen­de­resse (art. 5 par. 1 let. f concré­tisé à l’art. 32 RGPD).

Parallèlement à la viola­tion du prin­cipe et de ses obli­ga­tions de sécu­rité des données, l’Autorité consi­dère que le labo­ra­toire a violé son obli­ga­tion d’analyse d’impact rela­tive à la protec­tion des données (art. 35 par. 1 et par. 3 RGPD). En raison de la pandé­mie de COVID-19, le nombre d’analyses trai­tées par la défen­de­resse a forte­ment augmenté, ce qui permet de déduire de son acti­vité un trai­te­ment à « grande échelle » de données rela­tives à la santé impli­quant une obli­ga­tion de mener une analyse d’impact. Bien que la notion de « grande échelle » est sujette à inter­pré­ta­tion par les auto­ri­tés de contrôle, l’Autorité affirme que le trai­te­ment effec­tué par le labo­ra­toire est effec­ti­ve­ment de grande échelle (se fondant sur son guide d’analyse d’impact rela­tive à la protec­tion des données, qui tient compte des lignes direc­trices du Groupe de travail Article 29 (G29) concer­nant l’analyse d’impact rela­tive à la protec­tion des données (AIPD) et la manière de déter­mi­ner si le trai­te­ment « est suscep­tible d’engendrer un risque élevé » aux fins du règle­ment (UE) 2017/​679). L’autorité belge admet que l’on pour­rait égale­ment fonder l’obligation d’analyse d’impact sur l’échange systé­ma­tique de données rela­tives à la santé entre la défen­de­resse et d’autres respon­sables du trai­te­ment (les méde­cins) comme prévu par le point 6.5) de la déci­sion n^o 01/​2019 du Secrétariat géné­ral du 16 janvier 2019.

Finalement, le labo­ra­toire est consi­déré comme ayant violé son devoir d’information (art. 12 à 14 RGPD). Il dispose d’affichages rela­tifs aux trai­te­ments de données person­nels dans ses centres, mais cette mesure est à elle seule insuf­fi­sante, dans la mesure où seul un cercle limité de patients n’y est confronté. En outre, toute entre­prise dispo­sant d’un site web devrait publier une poli­tique de confi­den­tia­lité sur son site inter­net (en accord avec les lignes direc­trices du G29 sur la trans­pa­rence au sens du règle­ment (UE) 2016/​679).

L’amende, fixée à EUR 20’000 et infli­gée en tenant compte des critères de l’art. 83 RGPD, repré­sente 0.07% du chiffre d’affaires de la défen­de­resse. Elle est déter­mi­née en prenant en consi­dé­ra­tion d’une part les circons­tances aggra­vantes tel le trai­te­ment par la défen­de­resse d’une caté­go­rie spéciale de données person­nelles ou les inco­hé­rences dans sa défense. D’autre part, l’Autorité belge tient compte de circons­tances atté­nuantes, dont notam­ment le fait que le labo­ra­toire n’a par le passé vrai­sem­bla­ble­ment commis aucune infrac­tion ou encore le fait qu’il a fait en sorte de se confor­mer à ses obli­ga­tions depuis l’ouverture de la procédure.

Protocoles « http » vs « https »

Certains sites inter­net trai­tant des données person­nelles conti­nuent à utili­ser le proto­cole « http » (non sécu­risé car non chif­fré). Ce proto­cole fait encou­rir des risques impor­tants pour les personnes concer­nées en augmen­tant consi­dé­ra­ble­ment le risque d’attaques du type man-in-the-middle (ou de l’homme du milieu). Ce type d’attaque consiste en l’immission d’une personne tierce non auto­ri­sée entre l’utilisateur d’un site et le site même en vue d’intercepter, modi­fier et voler des données, ou de redi­ri­ger l’utilisateur sur une page piégée ou malveillante. L’un des moyens clas­siques et simples à mettre en place pour dimi­nuer dras­ti­que­ment ce type d’attaque est d’utiliser un proto­cole « https », soit un proto­cole chif­fré repo­sant sur TLS (Transport Layer Security, succes­seur du SSL (Secure Sockets Layer) permet­tant le chif­fre­ment des données trans­fé­rées à un navi­ga­teur), permet­tant d’assurer la confi­den­tia­lité et l’intégrité des infor­ma­tions collec­tées et échan­gés ainsi que l’authenticité du serveur contacté. En d’autres termes, ce proto­cole permet que les diffé­rents iden­ti­fiants, mots de passe et coor­don­nées des personnes concer­nées ne soient pas collec­tés et trans­mis en clair et, ainsi, que ces données courent un risque moins élevé d’être interceptées.

Certaines auto­ri­tés sur le plan euro­péen ont émis des recom­man­da­tions afin que les diverses enti­tés trai­tant des données person­nelles mettent en place TLS et le proto­cole « https », comme par exemple le Contrôleur euro­péen de la protec­tion des données  (CEPD) avec ses lignes direc­trices sur la protec­tion des données person­nelles trai­tées par des services inter­net four­nis par les auto­ri­tés euro­péennes. Il insiste sur la néces­sité de recou­rir à l’utilisation de TLS peu importe les caté­go­ries de données person­nelles trans­mises par inter­net. En paral­lèle, en France, la Commission natio­nale fran­çaise de l’informatique et des liber­tés (CNIL) a émis des recom­man­da­tions en vue de sécu­ri­ser les sites inter­net, prévoyant notam­ment l’utilisation du proto­cole TLS pour toutes les pages où sont affi­chées ou trans­mises des données person­nelles non publiques, se basant égale­ment sur la recom­man­da­tion pour la mise en œuvre d’un site web de l’Agence natio­nale de la sécu­rité des systèmes d’information (ANSSI), qui préco­nise d’ailleurs aujourd’hui l’utilisation d’un « http » Strict Transport Security (« hsts »), étape suivant une utili­sa­tion pérenne du proto­cole « https ».

En Suisse, le Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence (PFPDT) s’est égale­ment prononcé en allant déjà en 2015 égale­ment dans le sens d’une utili­sa­tion de proto­coles de commu­ni­ca­tion sécu­ri­sés tel TLS afin d’assurer d’une part une commu­ni­ca­tion chif­frée sécu­ri­sée entre un client et un serveur et, d’autre part, une authen­ti­fi­ca­tion des parties. Partant, à notre avis, l’utilisation d’un proto­cole « http » comme une mesure ne permet pas d’assurer la sécu­rité des données en droit suisse (art. 7 LPD, 8 nLPD).