Conseil d'État
N° 449694
ECLI:FR:CECHR:2022:449694.20220722
Mentionné aux tables du recueil Lebon
10ème - 9ème chambres réunies
Mme Christelle Thomas, rapporteur
Mme Esther de Moustier, rapporteur public
SCP RICHARD, avocats
Lecture du vendredi 22 juillet 2022
Vu la procédure suivante :
Par une requête sommaire et un mémoire complémentaire, enregistrés les 15 février et 17 mai 2021 au secrétariat du contentieux du Conseil d'Etat, M. D... C... demande au Conseil d'Etat :
1°) d'annuler la délibération n° SAN-2020-014 du 7 décembre 2020 par laquelle la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a prononcé à son encontre une amende de 3 000 euros ;
2°) de mettre à la charge de la Commission nationale de l'informatique et des libertés la somme de 3 500 euros au titre de l'article L. 761-1 du code justice administrative.
Vu les autres pièces du dossier ;
Vu :
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
- le code de justice administrative
Après avoir entendu en séance publique :
- le rapport de Mme Christelle Thomas, maître des requêtes,
- les conclusions de Mme B... de Moustier, rapporteure publique ;
La parole ayant été donnée, après les conclusions, à la SCP Richard, avocat de M. D... C... ;
Considérant ce qui suit :
1. Il résulte de l'instruction qu'à la suite du signalement sur le site internet " 01net.com " de l'existence, dans différents pays, de serveurs informatiques d'imagerie médicale en libre accès, les services de la Commission nationale de l'informatique et des libertés (CNIL) ont procédé les 20 et 24 septembre 2019 à des contrôles en ligne qui ont confirmé le caractère librement accessible de telles données par des serveurs localisés en France. Après avoir obtenu l'identité et les coordonnées des adresses IP afférentes, la délégation de contrôle de la CNIL a, par un courrier électronique du 8 octobre 2019, notamment, notifié à M. C..., chirurgien orthopédiste, le contrôle en ligne qu'elle avait effectué, après l'avoir informé du caractère librement accessible des images médicales de ses patients à partir de l'adresse IP de son serveur. Par un courrier électronique du 9 octobre 2019, M. C... a répondu avoir pris les mesures nécessaires pour mettre fin à la violation constatée. La formation restreinte de la CNIL a, par une délibération en date du 3 décembre 2020, prononcé à l'encontre de M. C... une amende administrative de 3 000 euros au titre des manquements constatés aux articles 32 et 33 du règlement du 27 avril 2016. M. C... demande l'annulation de cette délibération.
2. En premier lieu, le 1 de l'article 32 du règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données, dit RGPD, dispose que : " Compte tenu de l'état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins : / a) la pseudonymisation et le chiffrement des données à caractère personnel ; / b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; / c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ; / d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ".
3. Il résulte de l'instruction que la faille de sécurité informatique qui a conduit à mettre en libre accès plus de cinq mille trois cents images médicales, assorties des nom, prénom et date de naissance des patients, de la date de réalisation de l'examen et du nom des praticiens concernés, est imputable à l'installation informatique de M. C..., qui a admis avoir, d'une part, procédé à l'ouverture des ports réseaux de la " box Internet " utilisée à son domicile pour faire fonctionner son " VPN ", dont il avait paramétré lui-même la fonction serveur du logiciel d'imagerie " HOROS " sans recourir à un prestataire et, d'autre part, omis de mettre en place un dispositif de chiffrement des données à caractère personnel figurant sur son disque dur externe, ce qui permettait à toute personne prenant possession de ses appareils ou s'introduisant de manière indue sur le réseau auquel ces appareils étaient raccordés de prendre connaissance de ces données. En estimant, eu égard à la sensibilité particulière de ces données de nature médicale, qu'un manquement aux exigences élémentaires en matière de sécurité informatique qui incombe à tout responsable de traitement était constitué, la formation restreinte de la CNIL n'a pas fait une inexacte application des dispositions de l'article 32 du RGPD.
4. En deuxième lieu, en vertu du paragraphe 1 de l'article 33 du RGPD, " en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques ". Aux termes du paragraphe 3 du même article : " La notification visée au paragraphe 1 doit, à tout le moins: / a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés; / b) communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues; / c) décrire les conséquences probables de la violation de données à caractère personnel; / d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives ". Il résulte de ces dispositions que l'obligation de notifier à la CNIL une violation de données à caractère personnel susceptible de faire naître un risque pour les droits et libertés des personnes physiques ne s'impose pas au responsable du traitement dans le cas où la CNIL l'a elle-même informé de cette violation et a engagé son contrôle sur la base des informations portées à sa connaissance par ailleurs.
5. Il résulte de l'instruction que, par un courrier électronique en date du 8 octobre 2019, la CNIL a informé M. C... du libre accès des images médicales de ses patients à partir de l'adresse IP de son serveur et de l'engagement en conséquence d'un contrôle en ligne par ses services. Il s'ensuit qu'en retenant à l'encontre de M. C... un manquement à l'obligation de notification de la violation des données personnelles imposée par l'article 33 du RGPD, alors qu'eu égard à l'information dont disposait déjà la CNIL et qui lui avait permis d'engager un contrôle, ce dernier n'entrait pas dans le champ de cette obligation, la CNIL a entaché sa délibération d'une erreur de droit.
6. En dernier lieu, en vertu du 7° du III de l'article 20 de la loi du 6 janvier 1978, pour prononcer une amende administrative à l'encontre d'un responsable de traitement qui ne respecte pas les obligations résultant du RGPD, la formation restreinte de la CNIL prend en compte les critères précisés à l'article 83 de ce règlement, qui prévoit que les amendes administratives imposées par les autorités de contrôle nationales doivent, dans chaque cas, être " effectives, proportionnées et dissuasives ". Pour fixer le montant de l'amende, doivent, notamment, être pris en considération : " a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi ; / b) le fait que la violation a été commise délibérément ou par négligence ; / c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ; / d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en oeuvre en vertu des articles 25 et 32 ; / e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant ; / f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs ; / g) les catégories de données à caractère personnel concernées par la violation ; / h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation ; / i) lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures ; / j) l'application de codes de conduite approuvés en application de l'article 40 ou de mécanismes de certification approuvés en application de l'article 42 ; et / k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation ".
7. Il résulte de l'instruction que, pour fixer à 3 000 euros le montant de l'amende administrative infligée à M. C..., la formation restreinte de la CNIL a retenu que si ce dernier avait fait preuve de coopération avec l'autorité de contrôle en vue de remédier à la violation, il avait failli à deux principes en matière de sécurité informatique, d'une part, en ne protégeant pas son réseau informatique interne par la limitation des flux réseau au strict nécessaire, et, d'autre part, en ne procédant pas au chiffrement des données médicales concernées, et ce d'autant les données laissées accessibles étaient des données de santé qui doivent bénéficier de mesures de sécurité renforcées. Elle a aussi retenu un manquement à l'obligation de notification de la violation des données imposée par l'article 33 du RGP. Il résulte de ce qui a été dit aux points 3 et 5 que seul le manquement à l'article 32 du RGPD est constitué. Par suite, il sera fait une juste appréciation des circonstances de l'espèce en ramenant la sanction pécuniaire infligée à M. C... à un montant de 2 500 euros.
8. Les motifs de la présente décision n'impliquent pas qu'il soit enjoint à la CNIL d'accomplir d'autres diligences. Toutefois, la présente décision, qui réforme la sanction pécuniaire infligée à M. C..., implique que la CNIL en assure la publication selon les mêmes modalités que celles qu'elle avait retenues pour sa délibération.
9. Il n'y a pas lieu, dans les circonstances de l'espèce, de faire droit aux conclusions présentées par M. C... au titre de l'article L. 761-1 du code de justice administrative.
D E C I D E :
--------------
Article 1er : Le montant de la sanction pécuniaire infligée à M. C... est réduit à 2 500 euros.
Article 2 : La délibération de la formation restreinte de la Commission nationale de l'informatique et des libertés du 7 décembre 2020 est réformée en ce qu'elle a de contraire à la présente décision.
Article 3 : Il est enjoint à la Commission nationale de l'informatique et des libertés de publier la présente décision sur son site internet et sur le site Légifrance sans identifier le responsable de traitement.
Article 4 : Le surplus des conclusions de la requête de M. C... est rejeté.
Article 5 : La présente décision sera notifiée à M. D... C... et à la Commission nationale de l'informatique et des libertés.
N° 449694
ECLI:FR:CECHR:2022:449694.20220722
Mentionné aux tables du recueil Lebon
10ème - 9ème chambres réunies
Mme Christelle Thomas, rapporteur
Mme Esther de Moustier, rapporteur public
SCP RICHARD, avocats
Lecture du vendredi 22 juillet 2022
REPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS
AU NOM DU PEUPLE FRANCAIS
Vu la procédure suivante :
Par une requête sommaire et un mémoire complémentaire, enregistrés les 15 février et 17 mai 2021 au secrétariat du contentieux du Conseil d'Etat, M. D... C... demande au Conseil d'Etat :
1°) d'annuler la délibération n° SAN-2020-014 du 7 décembre 2020 par laquelle la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a prononcé à son encontre une amende de 3 000 euros ;
2°) de mettre à la charge de la Commission nationale de l'informatique et des libertés la somme de 3 500 euros au titre de l'article L. 761-1 du code justice administrative.
Vu les autres pièces du dossier ;
Vu :
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
- le code de justice administrative
Après avoir entendu en séance publique :
- le rapport de Mme Christelle Thomas, maître des requêtes,
- les conclusions de Mme B... de Moustier, rapporteure publique ;
La parole ayant été donnée, après les conclusions, à la SCP Richard, avocat de M. D... C... ;
Considérant ce qui suit :
1. Il résulte de l'instruction qu'à la suite du signalement sur le site internet " 01net.com " de l'existence, dans différents pays, de serveurs informatiques d'imagerie médicale en libre accès, les services de la Commission nationale de l'informatique et des libertés (CNIL) ont procédé les 20 et 24 septembre 2019 à des contrôles en ligne qui ont confirmé le caractère librement accessible de telles données par des serveurs localisés en France. Après avoir obtenu l'identité et les coordonnées des adresses IP afférentes, la délégation de contrôle de la CNIL a, par un courrier électronique du 8 octobre 2019, notamment, notifié à M. C..., chirurgien orthopédiste, le contrôle en ligne qu'elle avait effectué, après l'avoir informé du caractère librement accessible des images médicales de ses patients à partir de l'adresse IP de son serveur. Par un courrier électronique du 9 octobre 2019, M. C... a répondu avoir pris les mesures nécessaires pour mettre fin à la violation constatée. La formation restreinte de la CNIL a, par une délibération en date du 3 décembre 2020, prononcé à l'encontre de M. C... une amende administrative de 3 000 euros au titre des manquements constatés aux articles 32 et 33 du règlement du 27 avril 2016. M. C... demande l'annulation de cette délibération.
2. En premier lieu, le 1 de l'article 32 du règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données, dit RGPD, dispose que : " Compte tenu de l'état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins : / a) la pseudonymisation et le chiffrement des données à caractère personnel ; / b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; / c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ; / d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ".
3. Il résulte de l'instruction que la faille de sécurité informatique qui a conduit à mettre en libre accès plus de cinq mille trois cents images médicales, assorties des nom, prénom et date de naissance des patients, de la date de réalisation de l'examen et du nom des praticiens concernés, est imputable à l'installation informatique de M. C..., qui a admis avoir, d'une part, procédé à l'ouverture des ports réseaux de la " box Internet " utilisée à son domicile pour faire fonctionner son " VPN ", dont il avait paramétré lui-même la fonction serveur du logiciel d'imagerie " HOROS " sans recourir à un prestataire et, d'autre part, omis de mettre en place un dispositif de chiffrement des données à caractère personnel figurant sur son disque dur externe, ce qui permettait à toute personne prenant possession de ses appareils ou s'introduisant de manière indue sur le réseau auquel ces appareils étaient raccordés de prendre connaissance de ces données. En estimant, eu égard à la sensibilité particulière de ces données de nature médicale, qu'un manquement aux exigences élémentaires en matière de sécurité informatique qui incombe à tout responsable de traitement était constitué, la formation restreinte de la CNIL n'a pas fait une inexacte application des dispositions de l'article 32 du RGPD.
4. En deuxième lieu, en vertu du paragraphe 1 de l'article 33 du RGPD, " en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques ". Aux termes du paragraphe 3 du même article : " La notification visée au paragraphe 1 doit, à tout le moins: / a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés; / b) communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues; / c) décrire les conséquences probables de la violation de données à caractère personnel; / d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives ". Il résulte de ces dispositions que l'obligation de notifier à la CNIL une violation de données à caractère personnel susceptible de faire naître un risque pour les droits et libertés des personnes physiques ne s'impose pas au responsable du traitement dans le cas où la CNIL l'a elle-même informé de cette violation et a engagé son contrôle sur la base des informations portées à sa connaissance par ailleurs.
5. Il résulte de l'instruction que, par un courrier électronique en date du 8 octobre 2019, la CNIL a informé M. C... du libre accès des images médicales de ses patients à partir de l'adresse IP de son serveur et de l'engagement en conséquence d'un contrôle en ligne par ses services. Il s'ensuit qu'en retenant à l'encontre de M. C... un manquement à l'obligation de notification de la violation des données personnelles imposée par l'article 33 du RGPD, alors qu'eu égard à l'information dont disposait déjà la CNIL et qui lui avait permis d'engager un contrôle, ce dernier n'entrait pas dans le champ de cette obligation, la CNIL a entaché sa délibération d'une erreur de droit.
6. En dernier lieu, en vertu du 7° du III de l'article 20 de la loi du 6 janvier 1978, pour prononcer une amende administrative à l'encontre d'un responsable de traitement qui ne respecte pas les obligations résultant du RGPD, la formation restreinte de la CNIL prend en compte les critères précisés à l'article 83 de ce règlement, qui prévoit que les amendes administratives imposées par les autorités de contrôle nationales doivent, dans chaque cas, être " effectives, proportionnées et dissuasives ". Pour fixer le montant de l'amende, doivent, notamment, être pris en considération : " a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi ; / b) le fait que la violation a été commise délibérément ou par négligence ; / c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ; / d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en oeuvre en vertu des articles 25 et 32 ; / e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant ; / f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs ; / g) les catégories de données à caractère personnel concernées par la violation ; / h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation ; / i) lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures ; / j) l'application de codes de conduite approuvés en application de l'article 40 ou de mécanismes de certification approuvés en application de l'article 42 ; et / k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation ".
7. Il résulte de l'instruction que, pour fixer à 3 000 euros le montant de l'amende administrative infligée à M. C..., la formation restreinte de la CNIL a retenu que si ce dernier avait fait preuve de coopération avec l'autorité de contrôle en vue de remédier à la violation, il avait failli à deux principes en matière de sécurité informatique, d'une part, en ne protégeant pas son réseau informatique interne par la limitation des flux réseau au strict nécessaire, et, d'autre part, en ne procédant pas au chiffrement des données médicales concernées, et ce d'autant les données laissées accessibles étaient des données de santé qui doivent bénéficier de mesures de sécurité renforcées. Elle a aussi retenu un manquement à l'obligation de notification de la violation des données imposée par l'article 33 du RGP. Il résulte de ce qui a été dit aux points 3 et 5 que seul le manquement à l'article 32 du RGPD est constitué. Par suite, il sera fait une juste appréciation des circonstances de l'espèce en ramenant la sanction pécuniaire infligée à M. C... à un montant de 2 500 euros.
8. Les motifs de la présente décision n'impliquent pas qu'il soit enjoint à la CNIL d'accomplir d'autres diligences. Toutefois, la présente décision, qui réforme la sanction pécuniaire infligée à M. C..., implique que la CNIL en assure la publication selon les mêmes modalités que celles qu'elle avait retenues pour sa délibération.
9. Il n'y a pas lieu, dans les circonstances de l'espèce, de faire droit aux conclusions présentées par M. C... au titre de l'article L. 761-1 du code de justice administrative.
D E C I D E :
--------------
Article 1er : Le montant de la sanction pécuniaire infligée à M. C... est réduit à 2 500 euros.
Article 2 : La délibération de la formation restreinte de la Commission nationale de l'informatique et des libertés du 7 décembre 2020 est réformée en ce qu'elle a de contraire à la présente décision.
Article 3 : Il est enjoint à la Commission nationale de l'informatique et des libertés de publier la présente décision sur son site internet et sur le site Légifrance sans identifier le responsable de traitement.
Article 4 : Le surplus des conclusions de la requête de M. C... est rejeté.
Article 5 : La présente décision sera notifiée à M. D... C... et à la Commission nationale de l'informatique et des libertés.