GESTION D’UNE VIOLATION DE DONNÉES ET PRINCIPE D’ACCOUNTABILITY
Article rédigé le 22 novembre 2020 par Me Laurence Huin
Le principe de responsabilité (« accountability » en anglais) impose désormais aux acteurs de la santé, agissant en qualité de responsable de traitement, la démonstration du respect de leurs obligations, et ce, même dans l’urgence de la gestion d’une violation de données personnelles. Ce nouveau principe établit un nouveau paradigme : la prévention et le respect de l’obligation de sécurité ne suffisent plus en matière de données personnelles. Cette évolution sera l’objet de ce premier article sur ce sujet.
La sécurité, une obligation de moyens
Si la nature de l’obligation de sécurité a pu faire l’objet de nombreux débats doctrinaux et jurisprudentiels selon le secteur d’activité dans lequel elle s’appliquait (transport, compétitions sportives…), son application en matière numérique a longtemps été considérée comme une obligation de moyens simple.
En effet, la distinction dualiste entre les obligations de résultat (pour lesquelles la faute résultera de la simple absence du résultat promis) et les obligations de moyens (pour lesquelles la faute résultera de l’absence ou la mauvaise mise en œuvre des moyens pour atteindre un résultat) est déterminée par la nature de l’obligation en cause, notamment l’existence d’un aléa ou non, et du rôle joué par le créancier dans l’exécution de l’obligation. Or, en matière de sécurité numérique, l’aléa est très important ; la sécurité informatique absolue étant impossible techniquement.
Les anciennes dispositions de la Loi Informatique et Libertés vont en ce sens. Il était prévu à son ancien article 34 : « le responsable de traitement est tenu de prendre toutes les précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès ».
La CNIL avait été encore plus claire dans une délibération du 7 août 2014 : « Il est constant que l’obligation de notifier une violation de données, obligation de résultat à laquelle la société a satisfait, est distincte de celle relative à la sécurité et la confidentialité des données, obligation de moyens dont la formation restreinte doit examiner le respect ».
Ainsi, compte tenu de l’impossibilité technique d’assurer une sécurité absolue en matière numérique, le débiteur, tenu à une obligation de moyens, s’oblige uniquement à mettre en œuvre toutes les précautions utiles pour atteindre une sécurité, l’absence de résultat n’entrainera pas automatiquement sa responsabilité.
La sécurité, une obligation de moyens … renforcée
Cependant, en matière de numérique, la sécurité est une des conditions essentielles pour instaurer la confiance des acteurs et déployer de nouveaux services et outils, quel que soit le secteur.
C’est la raison pour laquelle, appliquée au secteur de la santé, la sécurité est un prérequis indispensable faisant l’objet de la 2ème orientation du virage numérique « Intensifier la sécurité et l’interopérabilité du numérique en santé », présenté dans le cadre du plan Ma Santé 2022. La sécurité est indispensable pour instaurer la confiance des acteurs du secteur de la santé et du médico-social, sans oublier celle des patients.
Dès lors, la CNIL et les tribunaux ont pu se montrer particulièrement sévères dans l’appréciation de l’obligation de sécurité, imposant aux acteurs de démontrer la mise en œuvre de tous les moyens pour se conformer aux exigences essentielles de sécurité, tendant dès lors vers la qualification d’obligation de moyens renforcée pour l’obligation de sécurité en matière numérique.
En témoigne ainsi les deux sanctions record prises récemment par l’autorité de contrôle britannique (ICO), en coopération avec la CNIL en application du mécanisme de coopération du guichet unique. A la suite de violation de données personnelles conséquentes, British Airways et Marriott se sont vues infligées des amendes respectivement de 20 millions de livres sterling (environ 22 millions d’euros) et de 18,4 millions de livres sterling (environ 20 millions d’euros).
La CNIL communique sur ces sanctions en justifiant leur sévérité par la situation spécifique des deux sociétés : « Dans les deux cas, il s’agit de sociétés traitant de très nombreuses données personnelles et qui disposent des moyens financiers et d’un personnel fortement qualifié pour assurer un haut niveau de sécurité. Si les attaques concernées se sont révélées sophistiquées et menées sur une durée étendue, il n’en reste pas moins que de fortes exigences pèsent sur de tels organismes ».
Loin d’être un simple débat doctrinal, l’intérêt de la distinction réside dans la charge de la preuve qui pèsera, non plus sur le créancier de l’obligation comme pour une obligation de moyens simple, mais sur le débiteur de l’obligation.
Le principe de responsabilité (accountability)
Cette sévérité et cette charge de la preuve pesant sur le débiteur de l’obligation de sécurité se voient là encore renforcées avec le nouveau principe de responsabilité (plus connu sous son nom anglais « accountability ») instauré par le Règlement européen général sur la protection des données (RGPD) que l’on ne présente plus, au sein de l’article 24.
Contrairement à la publicité qui lui a été faite, le RGPD n’a pas tant instauré de nouvelles règles, dont les grands principes étaient déjà posés par loi Informatique et Libertés de 1978, que mis en place un nouvel état d’esprit, imposant notamment pour chaque acteur d’être en mesure de démontrer sa conformité en vertu du principe de responsabilité (dit « accountability » en anglais).
Ce principe oblige désormais les acteurs à mettre en place des mesures techniques et organisationnelles appropriées pour s’assurer du respect des obligations auxquelles ils sont soumis et être en mesure de démontrer cette mise en conformité sur simple demande des autorités de contrôle.
Ce principe instaure véritablement un nouveau paradigme : la mise en œuvre de moyens et le respect de l’obligation de sécurité ne suffisent plus en matière de données personnelles. Il est nécessaire de documenter sa mise en conformité et l’ensemble des mesures prises pour répondre à l’obligation de sécurité et à son corolaire, l’obligation de notification et de communication en cas de violation de données personnelles.
La charge de la preuve pèse donc désormais sur les acteurs, et non les autorités chargées de la protection des données ou de la sécurité des systèmes d’information de manière générale.
Ainsi, face aux nombreuses cyberattaques dont font l’objet les acteurs de la santé, en témoigne l’Observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur santé, publié en juillet 2020 par la cellule Accompagnement cybersécurité des structures de santé (ACSS) de l’ANS, il est primordial pour les acteurs de la santé d’être en mesure de démontrer les moyens mis en œuvre pour assurer le respect de l’obligation de notification et de communication en cas de violation de données personnelles.
Les modalités pratiques de la gestion d’une violation de données personnelles feront l’objet d’un second article.
Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.