​Sous-traitance et violation de données : l'exemple de la fuite de données sensibles de mutuelles. Par Nicolas Milinkiewicz, Avocat.

​Sous-traitance et violation de données : l’exemple de la fuite de données sensibles de mutuelles.

Par Nicolas Milinkiewicz, Avocat.

12047 lectures 1re Parution: 4.33  /5

Explorer : # protection des données personnelles # sous-traitance # violation de données # rgpd

Ce que vous allez lire ici :

Suite à une fuite de données de la sécurité sociale concernant plus de 33 millions de personnes, cet article met en lumière l'importance de la protection des données personnelles et les responsabilités des sous-traitants.
Description rédigée par l'IA du Village

La Commission nationale de l’informatique et des libertés (CNIL) a été récemment informée par les sociétés Viamedis et Almerys de l’attaque informatique dont elles ont été victimes, fin janvier 2024. Ces opérateurs assurent la gestion du tiers payant des complémentaires santé. Ils ont vu les données nécessaires à leurs missions être compromises lors de cette violation.

-

Au total, cette fuite de données concerne plus de 33 millions de personnes. Les données concernées sont, pour les assurés et leur famille, l’état civil, la date de naissance et le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit.

Cette affaire montre l’importance de la protection des données personnelles, et les responsabilités qui pèsent sur les sous-traitants qui traitent ces données pour le compte de leurs clients.

Rappels sur la notion de responsable de traitement et de sous-traitant.

Pour rappel, le Règlement Général sur la Protection des Données (RGPD) [1] définit le responsable du traitement, comme

« la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement » [2].

Le traitement est toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que, par exemple la collecte, l’enregistrement, l’organisation, la structuration, la conservation, ou encore l’adaptation.

De même, au sens de l’article 4 du RGPD, le sous-traitant est

« la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

Dans le cas d’espèce, les complémentaires santé sont des responsables, qui effectuent divers traitements des données de leurs clients assurés. Quant à elles, Viamedis et Almerys sont des sous-traitantes au sens du RGPD, puisqu’elles traitent des données personnelles pour le compte des organismes d’assurance maladie.

Obligations du responsable de traitement et du sous-traitant.

Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, ce dernier doit faire uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée.

Le responsable du traitement et le sous-traitant doivent conclure un contrat incluant plusieurs mentions obligatoires. Cet accord de volontés, se présentant sous forme écrite, doit permettre aux parties d’organiser leurs rapports et leurs obligations respectives au regard de la protection des données personnelles.

Le responsable de traitement doit faire appel à un sous-traitant qui présente des garanties suffisantes en termes de sécurité. Le sous-traitant doit, quant à lui, assurer un niveau de sécurité suffisant au regard de la nature des données collectées pour le responsable de traitement.

Le responsable de traitement doit s’assurer que son sous-traitant respecte le RGPD.

Plus particulièrement, le sous-traitant doit :

  • Veiller à ce que les instructions délivrées par le responsable de traitement soient formalisées de manière écrite et procéder à leur recensement afin d’être en mesure de démontrer qu’il agit sur instruction du responsable de traitement ;
  • Tenir un registre des activités de traitement effectuées pour le compte du responsable de traitement ;
  • Tenir à disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect de ses obligations et permettre la réalisation d’audits.

Le sous-traitant doit documenter son activité de sous-traitance, jouer un rôle d’assistance et de conseil à l’égard du responsable de traitement, mais également assister celui-ci dans le traitement des demandes d’exercice des droits qu’il reçoit.

Procédure en cas de violation de données à caractère personnel.

Une violation de données à caractère personnel est une violation de la sécurité entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

En l’occurrence, Viamedis et Almerys ont subi un piratage informatique, ayant notamment pour conséquence l’accès non autorisé et illicite aux données personnelles des assurés.

Dans l’hypothèse d’une violation de données à caractère personnel, le sous-traitant doit notifier au responsable du traitement une telle violation, dans les meilleurs délais après en avoir pris connaissance.

En cas de violation de données à caractère personnel, outre une nécessaire documentation interne, dans le « registre des violations », le responsable du traitement doit notifier la violation en question à la CNIL, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

Il est à noter que le responsable du traitement peut demander au sous-traitant d’agir en son nom afin que ce dernier notifie la violation à la CNIL, si le responsable du traitement estime que la violation en cause est susceptible de présenter un risque pour les personnes concernées.

Cette notification doit, à tout le moins :

  • Décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
  • Communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • Décrire les conséquences probables de la violation de données à caractère personnel ;
  • Décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel aux personnes concernée dans les meilleurs délais.

A l’issue de cette notification, la CNIL peut décider de procéder au contrôle du respect de l’ensemble des obligations de la part des organismes concernés (inscription au registre, vérification du niveau de risque, respect des délais et du contenu des notifications, etc.) et, le cas échéant, les sanctionner.

Par communiqué du 7 février 2024, la CNIL a indiqué ouvrir une enquête [3].

Procédure à suivre…

Nicolas Milinkiewicz
Avocat inscrit au Barreau de Montbéliard
https://www.milinkiewicz-avocat.fr/

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

6 votes

Cet article est protégé par les droits d'auteur pour toute réutilisation ou diffusion (plus d'infos dans nos mentions légales).

Notes de l'article:

[1Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

[2Article 4 du RGPD.

"Ce que vous allez lire ici". La présentation de cet article et seulement celle-ci a été générée automatiquement par l'intelligence artificielle du Village de la Justice. Elle n'engage pas l'auteur et n'a vocation qu'à présenter les grandes lignes de l'article pour une meilleure appréhension de l'article par les lecteurs. Elle ne dispense pas d'une lecture complète.

A lire aussi :

Explorer : # protection des données personnelles # sous-traitance # violation de données # rgpd

  1. Dans la même rubrique
  2. Les Actualités juridiques
  3. Droit du numérique et des TIC
  4. Respect de la vie privée et protection des données personnelles

Les droits des personnes concernées sur leurs données personnelles. Par Debora Cohen, Avocat.

24 avril 2025

Vote électronique : la CNIL dévoile ses exigences de sécurité pour 2025. Par Gerard Haas, Avocat.

16 avril 2025

Vers une atteinte à la vie privée généralisée ? Par Victor Cabras, Juriste.

14 avril 2025

Lutte contre le narcotrafic et protection des données personnelles : quel équilibre ? Par Sonia Bernonville, Avocate.

25 mars 2025

Responsabilité complexe en cas de fuite de données, piratage et usurpation d’identité d’origine interne : analyse approfondie et stratégies contentieuses. Par Aurélie Duron Harmand, Avocat et Mehdi Mankouri, Elève-Avocat.

11 mars 2025

Empreinte neuronale et souveraineté cognitive : vers un cadre juridique pour la protection des données mentales. Par Zakaria Garno, Professeur.

10 avril 2025

Village de la justice et du Droit

Bienvenue sur le Village de la Justice.

Le 1er site de la communauté du droit: Avocats, juristes, fiscalistes, notaires, commissaires de Justice, magistrats, RH, paralegals, RH, étudiants... y trouvent services, informations, contacts et peuvent échanger et recruter. *

Aujourd'hui: 156 320 membres, 27852 articles, 127 254 messages sur les forums, 2 750 annonces d'emploi et stage... et 1 600 000 visites du site par mois en moyenne. *


FOCUS SUR...

• Voici le Palmarès Choiseul "Futur du droit" : Les 40 qui font le futur du droit.

• L'IA dans les facultés de Droit : la révolution est en marche.




Tous les Articles publiés

Populaires en ce moment

Annonces d'Emploi

Forum

Formations à venir

LES HABITANTS

Membres

Professionnels du droit et autres inscrits

PROFESSIONNELS DU DROIT

Previous Next

 

Cabinet d'avocat

 

 

Collectif d'avocats et de médiateurs

 

Réseau de cabinets d’avocats indépendants

 

Réseau de professionnels du Droit

 

Cabinet d'Avocats

 

Procédure d’appel, procédure civile, conseil, contentieux, modes amiables

 

Facilite l'accès aux professions du Droit

 

Agir en faveur de l’accès au droit

 

Bien plus que du droit.

 

Association pour la prévention positive des cyberviolences

Solutions

Previous Next

 

Logiciels pour professionnels du droit.

 

Editeur juridique et de solutions de gestion pour les métiers du droit

 

1er service entièrement en ligne pour externaliser vos appels

 

Solutions d'informations pour professionnels du droit.

 

AI-powered Contract Management

 

Editeur juridique

 

Maintenance informatique spécialisée pour les professionnels du droit

 

Logiciels de conformité, risques et éthique

 

Offres pour les métiers du droit

 

Créateur de confiance juridique

 

Lettre recommandée électronique

 

Association de gestion et de comptabilité pour Avocats

 

Traducteurs assermentés

 

Aides et Conseils à l'installation des avocats.

 

Destruction et recyclage de documents confidentiels

Formateurs

Previous Next

 

Des formations spécialisées

 

Cabinet juridique et organisme de formation

 

La Compétence juridique se recrute !

 

Se former aux métiers du Droit

 

L’école des nouveaux juristes !

 

Se former est une chance !

 

Formation, recherche et innovation

 

Formations courtes ou longues à destination des professionnels du droit

Nouvelles parutions

Robert Badinter

Robert Badinter - L’œuvre d’un juste

« Un jour, je vous parlerai de la Justice...»

LexisNexis Presse

La Semaine Juridique - Édition Générale

Accédez à votre actualité juridique chaque semaine sous la plume d’auteurs de renom !

A côté du droit !

Les coups de coeur des libraires juridiques (épisode 2).

Sélection Liberalis spécial Jour ferié : le Paradox Museum Paris.

Sélection Liberalis du week-end : L’art en mouvement à l’Atelier des Lumières.

Régulièrement nous partageons ici avec vous quelques images du net...

A voir et à Écouter... sur le Village de la justice:

- [Documentaire] Engagées, un an dans les coulisses du métier d’avocat.
- Comment bien utiliser le Village de la justice pour vos publications d’articles juridiques ?
- [Vidéo] Entretien avec Rémy Heitz, procureur général de la Cour de cassation dans l’émission Fenêtres sur cours.
- Dans les coulisses des directions juridiques de Decathlon et Bolloré Transport & Logistics.

Le Village de la justice est le 1er site de la communauté des métiers du Droit, en accès libre, créé en 1997 (en savoir plus). Avocats, juristes d'entreprises et salariés, magistrats, étudiants, notaires, huissiers, fiscalistes, RH, experts et conseils etc, y trouvent de nombreuses informations et participent à la communauté, s'informent, établissent leur réseau, recrutent... Le premier Réseau du droit ! > Découvrez notre philosophie et fonctionnement ici.

Edité par Legi Team
Editeur - Publicité
Fil RSS général du Village
Gestion des cookies - RGPD
Mentions légales - CGV - CGU
RSE
Plan du Village de la Justice
Nous écrire

Copyright © Village de la justice et auteurs publiés ici.