L’envoi d’un cour­riel à un mauvais desti­na­taire consti­tue une viola­tion de la sécu­rité des données s’il contient des données person­nelles. Lorsque ces données sont sensibles, on retien­dra plus faci­le­ment un risque élevé pour la personne concer­née par la viola­tion de confi­den­tia­lité. Il en découle un devoir d’informer l’autorité, voire la personne concer­née, selon le RGPD.

Délibération de la Commission natio­nale pour la protec­tion des données n° 31FR/​2021 du 5 août 2021

Envoyer un cour­riel profes­sion­nel au mauvais desti­na­taire par mégarde ne semble pas si grave. Cela étant, si ce le cour­riel contient des données sensibles, et que l’erreur se produit deux fois dans un court laps de temps, les consé­quences finan­cières peuvent être impor­tantes et atteindre tout de même EUR 135’000.-. Une société d’as­su­rance en a récem­ment fait les frais.

En novembre 2018, une employée d’une société d’assurance luxem­bour­geoise envoie par inad­ver­tance un cour­riel à un mauvais desti­na­taire. Le cour­riel contient notam­ment le nom de famille de l’assuré, son sexe, ainsi que des indi­ca­tions détaillées quant à certaines patho­lo­gies. L’assuré est informé de cette erreur vingt jours plus tard.

Vingt jours plus tard, la même employée réitère son erreur. Le cour­riel comprend cette fois-ci notam­ment le nom de famille de l’assuré, des ques­tions très précises quant à une patho­lo­gie spéci­fique et le nom de famille du docteur de l’as­su­rance-vie. L’assurance informe l’assuré de cette inad­ver­tance quelques jours plus tard. Elle lui assure que « toutes les mesures seront prises pour éviter de tels inci­dents dans le futur ».

Peu rassuré, et proba­ble­ment contra­rié par cette double erreur, l’assuré saisit la Commission natio­nale pour la protec­tion des données luxem­bour­geoise (CNPD). Celle-ci décide d’ouvrir une enquête et effec­tue une visite dans les locaux de la société.

En premier lieu, la Commission constate que le registre des viola­tions de données à carac­tère person­nel ne contient aucune inscrip­tion. Or l’art. 33 par. 5 RGPD impose au respon­sable du trai­te­ment de docu­men­ter toute viola­tion. L’art. 33 par. 5 in fine RGPD précise que la docu­men­ta­tion ainsi consti­tuée permet à l’au­to­rité de contrôle de véri­fier le respect de cette disposition.

L’assurance admet les faits repro­chés, mais soutient que la combi­nai­son des données divul­guées (nom de famille et condi­tions de santé) ne permet­trait pas d’identifier direc­te­ment ou indi­rec­te­ment l’assuré. Elle aurait d’ailleurs procédé à une recherche sur inter­net qui n’aurait affi­ché aucun lien à l’assuré. Les infor­ma­tions dans les deux cour­riels ne contien­draient ainsi aucune donnée person­nelle. Partant, les obli­ga­tions décou­lant du RGPD ne trou­ve­raient pas application.

Après avoir rappelé la notion large de données person­nelles, la CNPD consi­dère que les données conte­nues dans les deux cour­riels permettent d’identifier l’assuré, du moins indi­rec­te­ment. Or l’envoi de cour­riels à un desti­na­taire erroné consti­tue une viola­tion de données à carac­tère person­nel au sens de l’art. 4 ch. 12 RGPD (viola­tion de la confi­den­tia­lité). Partant, l’assurance aurait dû docu­men­ter dans son registre interne un tel événement.

Dans un deuxième temps, la Commission examine si elle devait être noti­fiée de cette viola­tion de données à carac­tère personnel.

L’art. 33 par. 1 RGPD impose au respon­sable du trai­te­ment de noti­fier l’autorité compé­tente de toute viola­tion de données à carac­tère person­nel, à moins que la viola­tion ne soit pas suscep­tible d’en­gen­drer un risque pour les droits et liber­tés des personnes concernées.

L’art. 34 par. 1 RGPD impose par ailleurs au respon­sable du trai­te­ment d’informer sans délai la personne concer­née de la viola­tion de données à carac­tère person­nel lorsqu’elle est suscep­tible d’en­gen­drer un risque élevé pour les droits et liber­tés de la personne concernée.

La CNPD souligne d’emblée que les données en ques­tion consti­tuent des données de santé. Elles sont ainsi dites « sensibles ». La Commission consi­dère qu’en raison de ce « carac­tère haute­ment sensible », les dommages poten­tiels pour l’assuré sont parti­cu­liè­re­ment graves, car la viola­tion pour­rait entraî­ner des dommages maté­riels ou moraux « si, par exemple, ces infor­ma­tions seraient publiées ou seraient trans­mises à d’autres tiers, voire à son employeur ».

Par ailleurs, ces données sont égale­ment proté­gées tant par le secret médi­cal que par le secret profes­sion­nel. La CNPD en déduit une « obli­ga­tion renfor­cée du respect de la confi­den­tia­lité » en raison du carac­tère « très sensible » des données. En outre, l’assurance n’a pas prouvé avoir demandé aux desti­na­taires non auto­ri­sés de suppri­mer les cour­riels reçus par erreur.

Partant, la viola­tion de données à carac­tère person­nel aurait dû être noti­fiée tant à la CNPD qu’à l’assuré.

L’assurance souligne qu’elle a préci­sé­ment informé l’assuré de ces erreurs. Cela étant, la Commission lui rétorque que non seule­ment cela n’a pas été effec­tué sans délai, mais qu’en plus elle n’a pas fourni à l’assuré les infor­ma­tions qu’elle aurait dû lui four­nir selon l’art. 34 par. 2 RGPD.

Troisièmement, la CNPD examine si le respon­sable du trai­te­ment avait mis en place des mesures tech­niques et orga­ni­sa­tion­nelles appro­priées selon le risque, au sens de l’art. 32 RGPD.

Elle constate que l’assuré avait consenti à ce que l’assurance lui envoie des données par cour­riel. Cela étant, un tel consen­te­ment n’exonère pas le respon­sable du trai­te­ment d’adopter des mesures de sécu­rité appro­priées, en parti­cu­lier lorsqu’il s’agit de données sensibles.

Selon la Commission, l’assurance aurait dû chif­frer les commu­ni­ca­tions ou adop­ter une tech­nique semblable. Or aucune mesure tech­nique de protec­tion ne proté­geait l’envoi des cour­riels liti­gieux. Partant, l’assurance a violé le prin­cipe de sécu­rité des données.

Enfin, la CNPD se penche sur les mesures correc­trices (art. 58 RGPD) et le montant de l’amende (art. 83 RGPD) en raison de ces multiples manquements.

En parti­cu­lier, la société traite à grande échelle des données sensibles proté­gées égale­ment par le secret médi­cal. Elle est ainsi tenue à une obli­ga­tion renfor­cée du respect de la confi­den­tia­lité. Or, non seule­ment elle n’a pas adopté les mesures de sécu­rité néces­saires, mais en plus elle a procédé à une inter­pré­ta­tion erro­née d’une notion de base de protec­tion des données en affir­mant que les cour­riels ne conte­naient en l’espèce pas des données personnelles.

En outre, la CNPD souligne qu’en raison de cette erreur d’interprétation, il y a un risque que beau­coup d’autres cas de viola­tion de données à carac­tère person­nel n’aient pas été détec­tés par l’assurance. Ainsi, le nombre de personnes poten­tiel­le­ment concer­nées est élevé.

En raison de ces éléments, la Commission fixe l’amende à EUR 135’000.- et impose à l’assurance de proté­ger l’envoi de cour­riels conte­nant des données sensibles, par exemple à l’aide d’un chif­fre­ment par cryp­tage ou par des mots de passe.

Cette déci­sion devrait rappe­ler à tout respon­sable du trai­te­ment qu’une petite erreur, sans réali­ser les consé­quences juri­diques qui en découlent, peut coûter parti­cu­liè­re­ment cher. La personne concer­née déçue par l’absence de sécu­rité adéquate des données n’hésitera d’ailleurs proba­ble­ment pas, comme dans le cas d’espèce, à dénon­cer le respon­sable du trai­te­ment à l’autorité compétente.

On peut toute­fois s’étonner que la déci­sion ne mentionne que de poten­tiels dommages pour la personne concer­née, sans rete­nir une quel­conque consé­quence concrète. La CNPD adopte cette même approche abstraite en consi­dé­rant qu’il y a poten­tiel­le­ment d’autres personnes concer­nées par le même genre de viola­tion de la sécu­rité des données. Pour le juriste suisse, cette approche abstraite semble assez inhabituelle.

Les respon­sables du trai­te­ment suisses peuvent être d’une part rassu­rés, de l’autre égale­ment inquiets. En effet, bien que le droit suisse (actuel et futur) ne prévoie pas d’amende admi­nis­tra­tive en cas de viola­tion des normes de la protec­tion des données, le RGPD déploie des effets extra­ter­ri­to­riaux poten­tiel­le­ment appli­cables en Suisse (cf. swiss​pri​vacy​.law/​22/). Il n’est toute­fois pas clair si des amendes pronon­cées dans l’Union euro­péenne à l’encontre de socié­tés suisses peuvent être exécu­tables dans le terri­toire helvé­tique (cf. not. Benhamou Yaniv, Jacot-Guillarmod Emilie. RGPD sur sol suisse : mise en œuvre, digma, 2018 p. 142–149).