L’autorité de contrôle luxembourgeoise a été saisie le 20 mai 2019 d’une plainte d’un client d’une compagnie d’assurance signalant que des courriers électroniques comprenant les données médicales le concernant avaient été envoyés à un destinataire tiers par erreur.
L’autorité de contrôle a effectué un contrôle sur place le 19 juillet 2019, et demandé quelques jours plus tard la fourniture de précisions de la part de l’assureur.
A l’issue de son enquête, l’autorité de contrôle a constaté que la compagnie d’assurance avait commis plusieurs manquements :
- Le manquement lié à l’obligation de documenter une violation de données à caractère personnel
Rappelant l’obligation de documenter toute violation de données à caractère personnel (découlant du principe d’accountability des articles 5(2) et 24 du RGPD), l’autorité de contrôle a constaté que le registre des violations de données ne comportait aucune inscription. Estimant que l’envoi de courriers électroniques concernant des données à caractères personnel à un destinataire erroné devait être qualifié de violation de données, le manquement à l’article 33(5) du RGPD était caractérisé.
- Le manquement lié à l’obligation de notifier une violation de données à caractère personnel à l’autorité de contrôle
Selon les dispositions de l’article 33(1) du RGPD, le responsable du traitement est tenu de notifier toute violation de données à caractère personnel à l’autorité de contrôle dans un temps limité. Dès lors que l’envoi de courriers électroniques à un mauvais destinataire a été qualifié de violation de données, l’autorité de contrôle en a logiquement déduit qu’une notification aurait du être effectuée. En l’absence de cette dernière, le responsable du traitement n’a pas respecté les termes de l’article 33(1) du RGPD.
- Le manquement lié à l’obligation de communiquer à la personne concernée une violation de données à caractère personnel
L’autorité de contrôle a d’abord estimé que les données à caractère personnel impliquées dans le présent cas étaient des données très sensibles concernant la santé du plaignant et dont la divulgation peut entraîner des dommages matériels ou moraux, tels qu’une discrimination, des pertes financières ou des dommages économiques et sociaux importants.
Elle a, dès lors, considéré que la violation présentait un risque élevé pour les droits et libertés du plaignant. Le responsable du traitement se trouvait ainsi dans l’obligation de communiquer à la personne concernée l’ensemble des informations requises en application de l’article 34 du RGPD.
- Le manquement lié à l’obligation de garantir la sécurité des traitements de données à caractère personnel
Conformément aux articles 5(1)f et 32 du RGPD, le responsable du traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.
En l’espèce, l’autorité de contrôle, rappelant que la protection de la confidentialité et de la sécurité des données à caractère personnel constitue un enjeu encore plus important en cas de traitement de données sensibles, a constaté que l’envoi des courriers électroniques litigieux n’était protégé par aucune mesure technique permettant notamment de garantir la confidentialité des messages et documents transmis. L’autorité de contrôle a donc estimé que le responsable du traitement n’a pas respecté ses obligations en matière de sécurité prévues aux articles 5.1.f) et 32.1. a) et b) du RGPD.
Tirant les conséquences de ces manquements au RGPD, l’autorité de contrôle a infligé à la compagnie d’assurance une amende d’un montant de 135.000 € et a enjoint la société de se mettre en conformité dans un délai de 2 mois, tout particulièrement en protégeant l’envoi de courriers électroniques par des mesures de sécurité appropriées, comme le chiffrement, l’utilisation de mots de passe solides ou tout autre technique garantissant une protection similaire.
Lien vers la décision de l’autorité luxembourgeoise : https://bit.ly/3Cr5utS