swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Deux courriels au mauvais destinataire peuvent coûter cher

Célian Hirsch, le 21 octobre 2021
L’envoi d’un cour­riel à un mauvais desti­na­taire consti­tue une viola­tion de la sécu­rité des données s’il contient des données person­nelles. Lorsque ces données sont sensibles, on retien­dra plus faci­le­ment un risque élevé pour la personne concer­née par la viola­tion de confi­den­tia­lité. Il en découle un devoir d’informer l’autorité, voire la personne concer­née, selon le RGPD.

Délibération de la Commission natio­nale pour la protec­tion des données n° 31FR/​2021 du 5 août 2021

Envoyer un cour­riel profes­sion­nel au mauvais desti­na­taire par mégarde ne semble pas si grave. Cela étant, si ce le cour­riel contient des données sensibles, et que l’erreur se produit deux fois dans un court laps de temps, les consé­quences finan­cières peuvent être impor­tantes et atteindre tout de même EUR 135’000.-. Une société d’as­su­rance en a récem­ment fait les frais.

En novembre 2018, une employée d’une société d’assurance luxem­bour­geoise envoie par inad­ver­tance un cour­riel à un mauvais desti­na­taire. Le cour­riel contient notam­ment le nom de famille de l’assuré, son sexe, ainsi que des indi­ca­tions détaillées quant à certaines patho­lo­gies. L’assuré est informé de cette erreur vingt jours plus tard.

Vingt jours plus tard, la même employée réitère son erreur. Le cour­riel comprend cette fois-ci notam­ment le nom de famille de l’assuré, des ques­tions très précises quant à une patho­lo­gie spéci­fique et le nom de famille du docteur de l’as­su­rance-vie. L’assurance informe l’assuré de cette inad­ver­tance quelques jours plus tard. Elle lui assure que « toutes les mesures seront prises pour éviter de tels inci­dents dans le futur ».

Peu rassuré, et proba­ble­ment contra­rié par cette double erreur, l’assuré saisit la Commission natio­nale pour la protec­tion des données luxem­bour­geoise (CNPD). Celle-ci décide d’ouvrir une enquête et effec­tue une visite dans les locaux de la société.

En premier lieu, la Commission constate que le registre des viola­tions de données à carac­tère person­nel ne contient aucune inscrip­tion. Or l’art. 33 par. 5 RGPD impose au respon­sable du trai­te­ment de docu­men­ter toute viola­tion. L’art. 33 par. 5 in fine RGPD précise que la docu­men­ta­tion ainsi consti­tuée permet à l’au­to­rité de contrôle de véri­fier le respect de cette disposition.

L’assurance admet les faits repro­chés, mais soutient que la combi­nai­son des données divul­guées (nom de famille et condi­tions de santé) ne permet­trait pas d’identifier direc­te­ment ou indi­rec­te­ment l’assuré. Elle aurait d’ailleurs procédé à une recherche sur inter­net qui n’aurait affi­ché aucun lien à l’assuré. Les infor­ma­tions dans les deux cour­riels ne contien­draient ainsi aucune donnée person­nelle. Partant, les obli­ga­tions décou­lant du RGPD ne trou­ve­raient pas application.

Après avoir rappelé la notion large de données person­nelles, la CNPD consi­dère que les données conte­nues dans les deux cour­riels permettent d’identifier l’assuré, du moins indi­rec­te­ment. Or l’envoi de cour­riels à un desti­na­taire erroné consti­tue une viola­tion de données à carac­tère person­nel au sens de l’art. 4 ch. 12 RGPD (viola­tion de la confi­den­tia­lité). Partant, l’assurance aurait dû docu­men­ter dans son registre interne un tel événement.

Dans un deuxième temps, la Commission examine si elle devait être noti­fiée de cette viola­tion de données à carac­tère personnel.

L’art. 33 par. 1 RGPD impose au respon­sable du trai­te­ment de noti­fier l’autorité compé­tente de toute viola­tion de données à carac­tère person­nel, à moins que la viola­tion ne soit pas suscep­tible d’en­gen­drer un risque pour les droits et liber­tés des personnes concernées.

L’art. 34 par. 1 RGPD impose par ailleurs au respon­sable du trai­te­ment d’informer sans délai la personne concer­née de la viola­tion de données à carac­tère person­nel lorsqu’elle est suscep­tible d’en­gen­drer un risque élevé pour les droits et liber­tés de la personne concernée.

La CNPD souligne d’emblée que les données en ques­tion consti­tuent des données de santé. Elles sont ainsi dites « sensibles ». La Commission consi­dère qu’en raison de ce « carac­tère haute­ment sensible », les dommages poten­tiels pour l’assuré sont parti­cu­liè­re­ment graves, car la viola­tion pour­rait entraî­ner des dommages maté­riels ou moraux « si, par exemple, ces infor­ma­tions seraient publiées ou seraient trans­mises à d’autres tiers, voire à son employeur ».

Par ailleurs, ces données sont égale­ment proté­gées tant par le secret médi­cal que par le secret profes­sion­nel. La CNPD en déduit une « obli­ga­tion renfor­cée du respect de la confi­den­tia­lité » en raison du carac­tère « très sensible » des données. En outre, l’assurance n’a pas prouvé avoir demandé aux desti­na­taires non auto­ri­sés de suppri­mer les cour­riels reçus par erreur.

Partant, la viola­tion de données à carac­tère person­nel aurait dû être noti­fiée tant à la CNPD qu’à l’assuré.

L’assurance souligne qu’elle a préci­sé­ment informé l’assuré de ces erreurs. Cela étant, la Commission lui rétorque que non seule­ment cela n’a pas été effec­tué sans délai, mais qu’en plus elle n’a pas fourni à l’assuré les infor­ma­tions qu’elle aurait dû lui four­nir selon l’art. 34 par. 2 RGPD.

Troisièmement, la CNPD examine si le respon­sable du trai­te­ment avait mis en place des mesures tech­niques et orga­ni­sa­tion­nelles appro­priées selon le risque, au sens de l’art. 32 RGPD.

Elle constate que l’assuré avait consenti à ce que l’assurance lui envoie des données par cour­riel. Cela étant, un tel consen­te­ment n’exonère pas le respon­sable du trai­te­ment d’adopter des mesures de sécu­rité appro­priées, en parti­cu­lier lorsqu’il s’agit de données sensibles.

Selon la Commission, l’assurance aurait dû chif­frer les commu­ni­ca­tions ou adop­ter une tech­nique semblable. Or aucune mesure tech­nique de protec­tion ne proté­geait l’envoi des cour­riels liti­gieux. Partant, l’assurance a violé le prin­cipe de sécu­rité des données.

Enfin, la CNPD se penche sur les mesures correc­trices (art. 58 RGPD) et le montant de l’amende (art. 83 RGPD) en raison de ces multiples manquements.

En parti­cu­lier, la société traite à grande échelle des données sensibles proté­gées égale­ment par le secret médi­cal. Elle est ainsi tenue à une obli­ga­tion renfor­cée du respect de la confi­den­tia­lité. Or, non seule­ment elle n’a pas adopté les mesures de sécu­rité néces­saires, mais en plus elle a procédé à une inter­pré­ta­tion erro­née d’une notion de base de protec­tion des données en affir­mant que les cour­riels ne conte­naient en l’espèce pas des données personnelles.

En outre, la CNPD souligne qu’en raison de cette erreur d’interprétation, il y a un risque que beau­coup d’autres cas de viola­tion de données à carac­tère person­nel n’aient pas été détec­tés par l’assurance. Ainsi, le nombre de personnes poten­tiel­le­ment concer­nées est élevé.

En raison de ces éléments, la Commission fixe l’amende à EUR 135’000.- et impose à l’assurance de proté­ger l’envoi de cour­riels conte­nant des données sensibles, par exemple à l’aide d’un chif­fre­ment par cryp­tage ou par des mots de passe.

Cette déci­sion devrait rappe­ler à tout respon­sable du trai­te­ment qu’une petite erreur, sans réali­ser les consé­quences juri­diques qui en découlent, peut coûter parti­cu­liè­re­ment cher. La personne concer­née déçue par l’absence de sécu­rité adéquate des données n’hésitera d’ailleurs proba­ble­ment pas, comme dans le cas d’espèce, à dénon­cer le respon­sable du trai­te­ment à l’autorité compétente.

On peut toute­fois s’étonner que la déci­sion ne mentionne que de poten­tiels dommages pour la personne concer­née, sans rete­nir une quel­conque consé­quence concrète. La CNPD adopte cette même approche abstraite en consi­dé­rant qu’il y a poten­tiel­le­ment d’autres personnes concer­nées par le même genre de viola­tion de la sécu­rité des données. Pour le juriste suisse, cette approche abstraite semble assez inhabituelle.

Les respon­sables du trai­te­ment suisses peuvent être d’une part rassu­rés, de l’autre égale­ment inquiets. En effet, bien que le droit suisse (actuel et futur) ne prévoie pas d’amende admi­nis­tra­tive en cas de viola­tion des normes de la protec­tion des données, le RGPD déploie des effets extra­ter­ri­to­riaux poten­tiel­le­ment appli­cables en Suisse (cf. swiss​pri​vacy​.law/​22/). Il n’est toute­fois pas clair si des amendes pronon­cées dans l’Union euro­péenne à l’encontre de socié­tés suisses peuvent être exécu­tables dans le terri­toire helvé­tique (cf. not. Benhamou Yaniv, Jacot-Guillarmod Emilie. RGPD sur sol suisse : mise en œuvre, digma, 2018 p. 142–149).



Proposition de citation : Célian Hirsch, Deux courriels au mauvais destinataire peuvent coûter cher, 21 octobre 2021 in www.swissprivacy.law/96


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Documentation externe et interne aux entreprises en matière de protection de données
  • Que signifie pour une personne concernée de rendre ses données personnelles « manifestement publiques » ?
  • Le RGPD s’oppose-t-il à l’obligation de publier sur Internet une déclaration d’intérêts afin de lutter contre…
  • Jeu, set et match : tour d’horizon des récentes avancées législatives
Derniers articles
  • Consécration du principe de la gratuité de la transparence
  • Un licenciement fondé sur les données GPS conforme à la CEDH ?
  • Sujets traités lors d’une séance d’un exécutif communal vaudois : publics ou confidentiels ?
  • Cyberattaques : vers une nouvelle obligation d’annonce
Abonnement à notre newsletter
swissprivacy.law