La Commission nationale de l’informatique et des libertés (CNIL) a été récemment informée par les sociétés Viamedis et Almerys de l’attaque informatique dont elles ont été victimes, fin janvier 2024. Ces opérateurs assurent la gestion du tiers payant des complémentaires santé. Ils ont vu les données nécessaires à leurs missions être compromises lors de cette violation.

Au total, cette fuite de données concerne plus de 33 millions de personnes. Les données concernées sont, pour les assurés et leur famille, l’état civil, la date de naissance et le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit.

Cette affaire montre l’importance de la protection des données personnelles, et les responsabilités qui pèsent sur les sous-traitants qui traitent ces données pour le compte de leurs clients.

Rappels sur la notion de responsable de traitement et de sous-traitant.

Pour rappel, le Règlement Général sur la Protection des Données (RGPD) [1] définit le responsable du traitement, comme

« la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement » [2].

Le traitement est toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que, par exemple la collecte, l’enregistrement, l’organisation, la structuration, la conservation, ou encore l’adaptation.

De même, au sens de l’article 4 du RGPD, le sous-traitant est

« la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

Dans le cas d’espèce, les complémentaires santé sont des responsables, qui effectuent divers traitements des données de leurs clients assurés. Quant à elles, Viamedis et Almerys sont des sous-traitantes au sens du RGPD, puisqu’elles traitent des données personnelles pour le compte des organismes d’assurance maladie.

Obligations du responsable de traitement et du sous-traitant.

Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, ce dernier doit faire uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée.

Le responsable du traitement et le sous-traitant doivent conclure un contrat incluant plusieurs mentions obligatoires. Cet accord de volontés, se présentant sous forme écrite, doit permettre aux parties d’organiser leurs rapports et leurs obligations respectives au regard de la protection des données personnelles.

Le responsable de traitement doit faire appel à un sous-traitant qui présente des garanties suffisantes en termes de sécurité. Le sous-traitant doit, quant à lui, assurer un niveau de sécurité suffisant au regard de la nature des données collectées pour le responsable de traitement.

Le responsable de traitement doit s’assurer que son sous-traitant respecte le RGPD.

Plus particulièrement, le sous-traitant doit :

• Veiller à ce que les instructions délivrées par le responsable de traitement soient formalisées de manière écrite et procéder à leur recensement afin d’être en mesure de démontrer qu’il agit sur instruction du responsable de traitement ;
• Tenir un registre des activités de traitement effectuées pour le compte du responsable de traitement ;
• Tenir à disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect de ses obligations et permettre la réalisation d’audits.

Le sous-traitant doit documenter son activité de sous-traitance, jouer un rôle d’assistance et de conseil à l’égard du responsable de traitement, mais également assister celui-ci dans le traitement des demandes d’exercice des droits qu’il reçoit.

Procédure en cas de violation de données à caractère personnel.

Une violation de données à caractère personnel est une violation de la sécurité entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

En l’occurrence, Viamedis et Almerys ont subi un piratage informatique, ayant notamment pour conséquence l’accès non autorisé et illicite aux données personnelles des assurés.

Dans l’hypothèse d’une violation de données à caractère personnel, le sous-traitant doit notifier au responsable du traitement une telle violation, dans les meilleurs délais après en avoir pris connaissance.

En cas de violation de données à caractère personnel, outre une nécessaire documentation interne, dans le « registre des violations », le responsable du traitement doit notifier la violation en question à la CNIL, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

Il est à noter que le responsable du traitement peut demander au sous-traitant d’agir en son nom afin que ce dernier notifie la violation à la CNIL, si le responsable du traitement estime que la violation en cause est susceptible de présenter un risque pour les personnes concernées.

Cette notification doit, à tout le moins :

• Décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
• Communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
• Décrire les conséquences probables de la violation de données à caractère personnel ;
• Décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel aux personnes concernée dans les meilleurs délais.

A l’issue de cette notification, la CNIL peut décider de procéder au contrôle du respect de l’ensemble des obligations de la part des organismes concernés (inscription au registre, vérification du niveau de risque, respect des délais et du contenu des notifications, etc.) et, le cas échéant, les sanctionner.

Par communiqué du 7 février 2024, la CNIL a indiqué ouvrir une enquête [3].

Procédure à suivre…

Nicolas Milinkiewicz Avocat inscrit au Barreau de Montbéliard https://www.milinkiewicz-avocat.fr/