Le 22 juillet 2022, le Conseil d’Etat a rendu un arrêt, selon lequel un responsable du traitement, averti par la CNIL de l’existence d’une violation de données, n’a pas à notifier ladite violation à la CNIL.
Suite à l’ouverture des ports réseaux de sa box internet par un chirurgien orthopédiste, des milliers d’images médicales ont été rendues accessibles librement sur internet.
La CNIL a eu vent de cette violation par le biais d’un signalement sur le site « 01net.com », ce qui a déclenché un contrôle en ligne. Suite à ce contrôle, la CNIL a informé le chirurgien du libre accès des images et de l’existence dudit contrôle.
La CNIL a, in fine, rendu une décision de sanction condamnant le chirurgien au paiement d’une amende de 3.000 € pour défaut de sécurisation des données (article 32 du RGPD) et manquement à l’obligation de notification de la violation (article 33 du RGPD).
Le chirurgien a exercé un recours devant le Conseil d’Etat afin d’obtenir l’annulation de la décision de la CNIL.
Si le Conseil d’Etat a confirmé la décision de la CNIL s’agissant du défaut de sécurisation des données, il a néanmoins indiqué que les circonstances d’espèces justifiaient l’absence de notification à la CNIL de la violation : « l’obligation de notifier à la CNIL une violation de données à caractère personnel susceptible de faire naître un risque pour les droits et libertés des personnes physiques ne s’impose pas au responsable du traitement dans le cas où la CNIL l’a elle-même informé de cette violation et a engagé son contrôle sur la base des informations portées à sa connaissance par ailleurs ».
En conséquence, le Conseil d’Etat, dans sa décision rendue le 22 juillet 2022, a réduit de 500 € le montant de l’amende prononcée à l’encontre du chirurgien.
Source : ici
