La société D (ci-après » la société « ) est une société par actions simplifiée à associé unique immatriculée au registre du commerce et des sociétés de Strasbourg. Elle a pour activité l’édition de logiciels applicatifs. Elle compte entre dix et dix-neuf salariés. Elle fait partie du groupe D, qui emploie environ neuf cents personnes et qui est composé, en France, de cinq sociétés.
La société D commercialise des solutions logicielles à destination de laboratoires d’analyses médicales, appelées solutions de gestion de laboratoire. Environ trois mille laboratoires de biologie médicale privés et entre trente et cinquante laboratoires d’analyses d’établissements publics de santé sont équipés des solutions éditées par la société D.
À ce jour, cinq logiciels sont commercialisés, parmi lesquels le logiciel K. Deux solutions auparavant commercialisées par la société D B ne sont plus maintenues et sont considérées comme obsolètes, parmi lesquelles M, dont la » fin de vie » a été atteinte en septembre 2019 selon la société. Les clients utilisateurs de la solution M ont été destinataires d’un courrier adressé par la société N (ancienne dénomination de D) en 2018 pour les informer de l’ » arrêt définitif de la maintenance » de cette solution.
Pour l’utilisation des logiciels commercialisés par les sociétés D et D B, les clients font l’acquisition d’une licence. La société D B assure également des prestations d’installation, de démarrage et d’accompagnement des clients à l’utilisation du logiciel. Un contrat de maintenance est en règle générale conclu pour assurer les mises à jour des solutions, lesquelles incluent notamment de nouvelles fonctionnalités et permettent de maintenir les solutions en conformité avec les normes en vigueur.
Le 23 février 2021, un article de presse intitulé » Les informations confidentielles de 500 000 patients français dérobées à des laboratoires et diffusées en ligne » a été publié par le journal Libération. Cet article faisait état de la présence sur un forum d’un lien de téléchargement vers un fichier contenant les données médico-administratives de près de 500 000 personnes : » Selon les spécialistes, la fuite est d’une ampleur inédite en France pour des données ayant trait à la santé. Le fichier en question, que » CheckNews » a pu consulter, contient l’identité complète de près d’un demi-million de Français, souvent accompagnée de données critiques. Il est apparu que les données à caractère personnel de 491 840 patients y figuraient, parmi lesquelles:
– des données d’identification : numéro de sécurité sociale, nom, prénoms, sexe, adresse postale, numéro de téléphone, adresse électronique, date de la dernière visite médicale, date de naissance;
– deux colonnes de commentaires libres contenant notamment des informations relatives aux pathologies des patients (VIH, cancers, maladies génétiques), à l’état de grossesse, aux traitements médicamenteux suivis par le patient ou encore des données génétiques ;
– des données d’identification du médecin prescripteur : nom, prénom, adresse postale, numéro de téléphone, adresse électronique ;
– des données relatives au préleveur : nom, prénom, adresse, numéro de téléphone ;
– des données relatives à la mutuelle du patient : » Id tiers payant » (suite de chiffres), adresse postale, numéro de téléphone ;
– une colonne » Identifiant SR » et une colonne » MP « , correspondant, au regard de son contenu, aux identifiants et mots de passe utilisés par le patient pour se connecter à son espace.
Aux termes de l’article 4 du RGPD, le responsable de traitement est défini comme » la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement » (point 7) et le sous-traitant est » la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement » (point 8).
Il ressort des éléments communiqués à la CNIL que la société D B agit en qualité de sous-traitant des traitements mis en œuvre pour le compte de ses clients, les laboratoires, qui sont responsables de traitement, dans la mesure où elle met à disposition des laboratoires des outils informatiques leur permettant de mettre en œuvre leurs traitements et qu’elle agit, de manière générale, uniquement sur la base de leurs instructions.
Aux termes de l’article 28, paragraphe 3, du RGPD,
» Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant :
a) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis ; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public ;
b) veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
c) prend toutes les mesures requises en vertu de l’article 32 ;
d) respecte les conditions visées aux paragraphes 2 et 4 pour recruter un autre sous-traitant ; […] « .
En premier lieu, la formation restreinte [de la CNIL, qui rend la présente décision] relève que le fait que l’obligation résultant de l’article 28, paragraphe 3, du RGPD incombe tant au responsable de traitement qu’au sous-traitant est sans incidence sur l’existence d’une responsabilité propre du sous-traitant. Elle note que c’est la société elle-même qui transmet aux laboratoires ses propres conditions générales de vente qui font office d’encadrement contractuel au titre du RGPD.
En deuxième lieu, la formation restreinte relève que les conditions générales de vente proposées par D B au moment où les laboratoires acceptent sa prestation, transmises par la société dans le cadre de la procédure de contrôle, ne comportent aucune des mentions requises par l’article 28 du RGPD. De même, elle note que les mentions requises ne figurent pas non plus dans les contrats de maintenance transmis à la CNIL, conclus entre la société et les laboratoires.
En troisième lieu, la formation restreinte prend note que la société D B a déployé de nouveaux modèles de contrat de sous-traitance et a entamé des démarches pour se mettre en conformité avec les dispositions de l’article 28 du RGPD. Pour autant, il n’en demeure pas moins que la société a entamé des démarches auprès de ses clients dans le cadre de la présente procédure et qu’elle n’était pas en conformité au moment des constatations effectuées par la CNIL. Elle ne l’est d’ailleurs toujours pas s’agissant de certains contrats, puisque la société a indiqué, dans ses dernières observations, poursuivre ses actions visant à transmettre à l’ensemble de ses clients les contrats mis à jour et à les négocier le cas échéant.
Dès lors, au regard de l’ensemble de ces éléments, la formation restreinte considère que ces faits constituent un manquement à l’article 28, paragraphe 3, du RGPD, que la société ne conteste pas au demeurant.
Aux termes de l’article 29 du RGPD,
» Le sous-traitant et toute personne agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement, à moins d’y être obligé par le droit de l’Union ou le droit d’un État membre « .
En premier lieu, la formation restreinte relève que les différents éléments recueillis dans le cadre des contrôles des laboratoires […] et […] ont permis d’établir que D B avait extrait un volume de données plus important que celui requis dans le cadre de la migration demandée par ses clients [entre deux solutions informatiques].
En deuxième lieu, la formation restreinte relève que, s’agissant de la validation des extractions par les laboratoires concernés, la société produit uniquement deux documents intitulés » tickets SAV » à l’appui de ses déclarations, lesquels ne sauraient en réalité suffire à démontrer qu’elle a effectué les opérations d’extraction conformément aux instructions des laboratoires et que les laboratoires ont validé le contenu des extractions réalisées.
En troisième lieu, la formation restreinte considère que la société ne saurait se prévaloir d’un outil inadapté pour justifier d’avoir outrepassé les instructions des responsables de traitement. Elle aurait pu, par exemple, opter pour un autre outil lui permettant de respecter les instructions données par ses clients, comme elle indique le faire désormais, ou a minima supprimer toutes les données qui n’auraient pas dû être extraites.
Compte tenu de ces éléments, la formation restreinte considère que la société D B a traité des données au-delà des instructions données par les responsables de traitement, ce qui constitue un manquement à l’article 29 du RGPD.
Aux termes de l’article 32 du RGPD,
» 1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :
a) la pseudonymisation et le chiffrement des données à caractère personnel ;
b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
2. Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite […] « .
En premier lieu, la formation restreinte relève qu’il ressort des constations effectuées par la CNIL que la société ne disposait pas de procédure spécifique établie s’agissant des opérations de migration de données. Aucune mesure de sécurité n’était notamment prévue pour l’envoi des données, pourtant sensibles au sens de l’article 9 du RGPD. Les fichiers d’extractions de données étaient donc envoyés » en clair » (c’est-à-dire lisibles directement, car non transformées préalablement via une fonction de hachage), sans aucune mesure de chiffrement ou de sécurité. Or, pour assurer la sécurité des opérations de migration d’un nombre aussi important de données à caractère personnel sensibles, il convient de mettre en place des procédures spécifiques permettant de décrire étape par étape l’enchaînement des tâches à réaliser, les rôles et les responsabilités associées. De telles procédures permettent également de disposer d’un compte rendu détaillé des opérations pour les laboratoires ou clients dont les données ont été traitées et transmises. L’absence de telles procédures fait peser sur les données à caractère personnel concernées un risque de compromission pourtant facilement évitable, qui peut conduire à exposer des données relevant de la vie privée.
En deuxième lieu, la formation restreinte relève que plusieurs alertes successives auraient dû conduire la société à effectuer des investigations sur son système de sécurité.
En troisième lieu, la formation restreinte note que plusieurs mesures de sécurité élémentaires en matière de sécurité faisaient défaut en l’espèce. La formation restreinte note d’abord que les données à caractère personnel stockées sur le serveur […] n’étaient pas chiffrées et étaient donc directement lisibles, alors qu’il s’agit de données sensibles qui, de par leur nature, nécessitent des mesures de sécurité particulières.
En outre, dans le cadre des migrations du logiciel […] vers un autre logiciel, les données, une fois transférées sur le serveur, n’étaient pas effacées automatiquement. Or, la conservation des données fait encourir un risque de fuite ou de compromission desdites données.
La formation restreinte relève ensuite que la zone publique du serveur, dans laquelle certaines données des laboratoires ont été stockées aux fins de migration, était accessible librement sans authentification depuis Internet. En outre, la zone privée du serveur était accessible avec des comptes utilisateurs partagés entre plusieurs salariés. Or, l’utilisation de comptes partagés fait peser un risque disproportionné, pourtant facilement évitable, sur la sécurité du traitement et augmente considérablement les risques de compromission, notamment du fait de la circulation du mot de passe entre plusieurs personnes. En outre, les comptes communs (ou partagés) ne permettent pas une bonne application de la politique d’habilitation, qui est pourtant un élément fondamental de la sécurité des systèmes d’information, visant à limiter les accès aux seules données dont un utilisateur a besoin.
La formation restreinte souligne enfin qu’aucune procédure de supervision et de remontée d’alertes de sécurité n’était mise en œuvre sur le serveur […]. Les connexions provenant d’adresses IP suspectes n’étaient donc ni détectées ni traitées. Le rapport d’investigation numérique de la société […] confirme d’ailleurs que certaines connexions suspectes ont été identifiées, ce qui confirme que le serveur était exposé sur Internet et que des connexions non autorisées à ce serveur ont eu lieu, sans qu’elles puissent être identifiées grâce à ces procédures de supervision et de remontée d’alertes.
En dernier lieu, la formation restreinte relève que le manquement reproché n’est pas constitué par les violations de données en tant que telles, mais par les défauts de sécurité qui sont à l’origine de l’intrusion sur les serveurs de la société, constatés lors des contrôles effectués par la CNIL. Elle souligne que cette proposition du rapporteur, visant à sanctionner les défauts de sécurité à l’origine de violations, s’inscrit dans la lignée de décisions précédentes de la formation restreinte. Ainsi, dans sa délibération n° SAN 2019-007 du 18 juillet 2019, la formation restreinte a relevé » que les mesures élémentaires de sécurité n’avaient pas été prises en amont du développement de son site web [par la société sanctionnée], ce qui a rendu possible la survenance de la violation de données à caractère personnel « .
La formation restreinte souligne toutefois que les conséquences de ces défauts de sécurité ne sont pas pour autant exclues du champ de son analyse, en ce qu’elles révèlent la concrétisation du risque engendré par ces défauts de sécurité. La formation restreinte observe ainsi que les vulnérabilités existantes ont été exploitées et que plusieurs violations de données ont eu lieu.
Ainsi, l’absence de mise en place de mesures de sécurité protégeant le serveur en cause – notamment l’absence de chiffrement, l’absence d’effacement automatique des données après leur migration, l’absence d’authentification requise depuis Internet pour accéder à la zone publique du serveur et l’utilisation de comptes utilisateurs partagés – a conduit à rendre accessibles lesdites données à des tiers, et ce malgré des alertes préalables à la violation de données à caractère personnel ayant conduit à la divulgation d’un fichier contenant les données médico-administratives de près de 500 000 personnes.
Dès lors, la formation restreinte considère que la société D B a méconnu son obligation résultant des dispositions de l’article 32 du Règlement, ce que la société ne conteste pas au demeurant.
(Commission Nationale de l’Informatique et des Libertés, Délibération SAN-2022-009 du 15 avril 2022, accessible via
Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens(VD)
Le droit du travail et de la protection des données en Suisse 