Conseils pour éviter les sanctions RGPD et protéger votre Entreprise
Il s’agit d’une actualité repérée par une collègue, qui a tout de suite piqué l’intérêt de l’équipe RGPD Academy : un laboratoire d’analyses médicales qui invoque sa qualité de sous-traitant… pour ne pas être responsable des non-conformités d’un traitement.
Si vous-même n’avez pas vu passer cette actualité, c’est peut-être parce que pour une fois elle ne nous vient pas de la CNIL, mais de l’autorité de protection des données Belge (son site ici). Il s’agit d’ailleurs d’une affaire qui date : l’APD avait rendu sa décision en août 2022. Cependant, la décision reste pertinente et nous apporte plusieurs éclairages sur la qualification du sous-traitant et surtout, sur ses obligations.
Quels étaient les faits ?
Le point de départ de l’affaire est une plainte portée devant l’APD par un patient d’un laboratoire. Ce dernier soupçonnait le laboratoire de ne pas avoir mené une analyse d’impact quant aux traitements des données qu’il mettait en œuvre. Ses soupçons provenaient notamment du défaut flagrant de sécurité observable sur le site web du laboratoire en question. Un second grief concernait le défaut d’information concernant le traitement des données patients.
Quelle est l’analyse de l’APD ?
Sur la qualification du laboratoire
Similaire à l’approche de la CNIL, qui lors de l’affaire DEDALUS biologie a qualifié des laboratoires d’analyse responsable du traitement, l’APD considère que le laboratoire en question est un responsable du traitement.
Quels sont ses arguments ?
Le laboratoire considérait que c’étaient les professionnels de santé qui étaient des responsables du traitement et lui, leur sous-traitant. La première partie de son raisonnement est correcte : le professionnel de santé est un responsable du traitement dans la mesure où il traite les données de ses patients pour ses propres finalités et par ses propres moyens.
Comme le suggère l’APD dans sa décision, le laboratoire invoquait cette qualité de sous-traitant pour échapper au lot d’obligations incombant à un responsable du traitement, mais son analyse ne tenait pas la route. En effet, un laboratoire, quand il accueille un patient pour réaliser des analyses, même s’il répond à une demande d’un professionnel de santé (par exemple : quelle analyse faire), traite les données du patient selon les moyens qu’il aura définis.
Pour rappel, un sous-traitant traite des données à caractère personnel pour le compte d’un responsable du traitement qui a défini les finalités et les moyens du traitement. Si la définition des moyens échappe entièrement au contrôle d’un responsable du traitement, cela aura un impact sur la qualification des acteurs.
La conclusion de l’APD est sans appel, et le laboratoire finit par la reconnaître : il est un responsable du traitement.
Sur les manquements reprochés :
Le défaut d’information
Sur le défaut d’information, une fois le laboratoire qualifié de responsable du traitement, il est facile pour l’APD de conclure que l’obligation d’information lui revenait bien. Ici l’affaire met en lumière quelques points intéressants : l’APD reproche une absence de politique de protection des données sur le site internet du laboratoire. Le laboratoire se défend en indiquant que l’information est affichée dans les locaux (mais n’en apporte pas la preuve).
L’APD procède à deux rappels :
- Un site internet, dès lors qu’il ne s’agit pas d’un site vitrine ou d’un site ne réalisant pas de traitement de données, doit disposer d’une politique de protection des données. Cette règle ressort des lignes directrices du G29 sur la transparence. En l’occurrence, le site traitant des données à caractère personnel, il devait disposer de la politique de protection des données.
- Pour l’affichage, s’il existait, il aurait dû permettre d’informer les personnes concernées de manière complète. Dans les faits, l’absence de preuve quant à l’affichage ainsi que le grief du plaignant laissait entendre que ce n’était pas le cas.
L’APD suit le raisonnement de la CNIL en matière d’information : avoir une mention d’information à un seul endroit ne suffit pas pour remplir l’obligation d’information. Une mention d’information doit aussi être rattachée à son contexte pour être aisément accessible.
Pour vous rafraîchir la mémoire : regardez notre minute sur le sujet !
Le défaut d’information
Un des griefs concernait un défaut de sécurité flagrant du site internet du laboratoire. En effet, il était facile de constater que le site étant en « http », les données pouvant y être saisies ou étant accessibles pour les professionnels de santé, n’était pas suffisamment sécurisé.
Profitons ici pour rappeler qu’un site « sécurisé » est un site en « https ». Sans entrer dans les détails trop techniques : le https assure le chiffrement des données présentes sur le site. En l’espèce, le « http » n’assure pas ce même niveau de sécurité, rendant les données potentiellement accessibles à des tiers. Le laboratoire tente à nouveau de se défendre : il avait apporté entre temps les mesures correctives nécessaires pour sécuriser le site et jusque-là, n’avait pas constaté de violation de données.
L’APD reste intransigeante : au moment du dépôt de la plainte, le site n’était pas sécurisé. Le manquement était donc avéré.
On en profite pour rappeler que l’analyse de l’APD serait restée la même, quelle que soit la qualification du laboratoire ! L’obligation de sécurité est autant celle du responsable du traitement que celle d’un sous-traitant.
Le défaut d’analyse d’impact
Finissons cette relecture avec le manquement relatif à l’analyse d’impact. On vous rappellera, sans surprise, qu’un laboratoire traite de la donnée à caractère personnel de santé. Il s’agit d’une des catégories particulières de données, et aussi d’un des critères permettant de déterminer si une étude d’impacts est obligatoire. A nouveau, le laboratoire semble prêt à débattre pour démontrer qu’il n’est pas dans l’obligation de mener une étude d’impact…
En bref, l’APD évalue le traitement et s’intéresse en particulier au critère de large échelle. Il s’agit d’un autre critère permettant d’identifier les traitements nécessitant étude d’impact, mais il s’agit aussi d’un des critères les plus subjectifs. Malheureusement pour nous, l’analyse de l’APD ne nous donne pas beaucoup d’information sur sa manière d’apprécier la grande échelle. L’APD indique ici que c’est bien au laboratoire de motiver la qualification de grande échelle en s’appuyant sur des éléments objectifs (est citée ici, son augmentation d’activité pendant la pandémie COVID-19 par exemple). L’APD ne dispose pas, à priori, de ces éléments, mais considère tout de même que l’étude d’impact est obligatoire, et que le critère de grande échelle est validé.
Cette décision s’approche de la doctrine de la CNIL, en matière d’étude d’impact, où cette dernière a déjà pu pointer du doigt le défaut de réalisation d’étude d’impact.
Pour en savoir plus sur les PIA, n’hésitez pas à regarder notre minute sur le sujet, ici.
La sanction prononcée par l’APD reste bien loin des exemples CNIL, souvent plus sévères, et s’élève à une amende administrative de 20.000 euros, soit 0,07% du chiffre d’affaires du laboratoire. On se demande si la CNIL aurait frappé plus fort, notamment pour le défaut d’information (sanctionnable à 4% du CA) ou pour le défaut de sécurité.
Et vous, qu’en pensez-vous ?
Pour lire l’affaire dans le détail, rendez-vous ici : https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-127-2022.pdf
Actualité repérée le mercredi 27 septembre : https://www.dsih.fr/article/5259/rgpd-un-laboratoire-d-analyses-medicales-invoque-sa-qualite-de-sous-traitant-pour-se-dedouaner-de-toute-responsabilite.html