Par une délibération du 15 avril 2022, la CNIL s’est prononcée sur la conformité au RGPD des traitements de données personnelles réalisées par un éditeur de logiciel, à l’issue desquelles a eu lieu une fuite massive de données personnelles de santé.
Contexte : une migration de données suite à l’abandon de logiciels
Une entreprise éditrice de plusieurs solutions logicielles à destination des laboratoires d’analyse médicales a mis un terme, en 2019, à la maintenance de certaines, considérées comme obsolètes.
Elle a en conséquence mené une opération de transfert de données des laboratoires qui utilisaient ces solutions abandonnées.
Or, une fuite de données est survenue et certaines données ainsi exportées, concernant près de 500.000 personnes et particulièrement sensibles car ayant trait à leur santé, ont été rendues accessibles et téléchargeables sur Internet.
La CNIL est en conséquence intervenue pour vérifier si les traitements de données opérés par l’éditeur du logiciel étaient conformes aux dispositions du Règlement général sur la protection des données (RGPD).
Solution : Une fuite de données causée par les manquements de l’éditeur de logiciels
1/ Un sous-traitant n’ayant pas agi selon les instructions données par le responsable de traitement
La CNIL a d’abord relevé que l’éditeur du logiciel ne faisait que mettre à disposition de ses clients laboratoires des outils informatiques pour faciliter leurs traitements de données et qu’il agissait uniquement au nom et sous la responsabilité des laboratoires pour assurer les services de maintenance des logiciels et de migrations de données.
En conséquence, l’entreprise éditrice a été considéré comme un sous-traitant au sens du RGPD, les laboratoires utilisateurs étant les responsables de traitements.
Or, un sous-traitant ne peut en principe mener un traitement de données personnelles que sur instructions du responsable de traitement.
Au cas présent, la CNIL relève que, si l’éditeur avait effectivement reçu instruction de procéder aux migrations de données, il avait en réalité extrait plus de données que ce qui lui était demandé.
En effet, certains champs d’informations personnelles inclus dans le logiciel avaient fait l’objet d’un export et s’étaient donc retrouvés au cœur de la fuite de données, alors même que les laboratoires qui possédaient ces données n’avaient jamais demandé à ce qu’elles soient migrées.
Se faisant, l’éditeur avait bien manqué à ses obligations en tant que sous-traitant.
2/ Une condamnation lourde pour les différents manquements au RGPD
Il ne s’agissait toutefois pas du seul manquement qui lui était reproché.
D’une part en effet, les différents contrats portant sur les logiciels (licence et maintenance notamment) ne comportaient pas les mentions obligatoires prévues par le RGPD.
D’autre part, un ancien salarié de l’éditeur lui avait déjà fait remonté l’information de l’existence de problèmes de sécurité, la CNIL relevant que suite à cette alerte les mesures entreprises de correction des manquements techniques et organisationnels évoqués n’avaient pas été suffisantes.
Or ces manquements, d’une gravité importante (absence de chiffrement des données migrées qui étaient communiquées en clair et absence de suppression dans le logiciel obsolète après la migration notamment), étaient l’une des causes ayant permis la violation des données par des tiers mal intentionnés.
L’éditeur n’a donc pas mis en œuvre des mesures de protection suffisante, eu égard à son obligation de sécurité et aux enjeux des traitements de données réalisés.
Cette fuite de données massive, dont la cause était imputable aux manquements de l’éditeur du logiciel, a donné lieu à une lourde condamnation de ce dernier, à savoir le paiement d’une somme d’1,5 millions d’euros (somme qui correspondait ici à environ une année de résultat net pour l’éditeur).
Le choix de ce montant par la CNIL tenait notamment compte, outre des manquements de l’éditeur, des conséquences particulièrement graves la fuite de données pour les personnes qui avaient vu des informations personnelles devenir accessibles par tous, données qui présentaient un caractère particulièrement sensibles puisqu’elles concernaient leur santé et les soumettait donc ensuite à un risque élevé d’escroqueries difficilement détectables (par exemple, l’envoi de messages personnalisés faisant spécifiquement référence à leur condition de santé).
En résumé, il est vital pour un sous-traitant de données personnelles (et à plus forte raison lorsque les données concernées sont des données sensibles) de s’assurer de mettre en œuvre des mesures assurant la sécurité des traitements qu’il réalise mais également de réaliser les traitements strictement selon les instructions qui lui sont données par le responsable de traitement.
Vous souhaitez en savoir plus sur ce sujet, un avocat RGPD du cabinet SOLVOXIA se tient à votre disposition.