Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - 39

Ce courriel comprenait, dans le
corps du texte, notamment son
nom de famille, son sexe, ainsi que
des indications détaillées concernant
certaines pathologies, et, en
pièces jointes, trois formulaires
distincts relatifs aux pathologies
qu'il avait déclarées auprès de son
assurance. L'assuré a saisi la CNPD
d'une réclamation, étant précisé
que cette erreur s'est répétée une
seconde fois.
Dans ce contexte, l'autorité de
contrôle luxembourgeoise a décidé
d'ouvrir une enquête, qui s'est
traduite par un contrôle sur place
dans les locaux de l'assureur.
La question qui se posait était de
savoir si l'incident en question
devait s'analyser comme une
violation de données et, dans
l'affirmative, si l'assureur aurait
dû notifier la violation à la CNPD
et informer le ou les personne(s)
concernée(s). Selon l'assureur,
les obligations du RGPD ne s'appliquaient
pas au cas d'espèce,
dans la mesure où les données
transmises par les deux courriers
électroniques litigieux ne permettaient
pas d'identifier le réclamant.
La CNPD n'a pas suivi cette analyse
et a considéré que : « l'envoi de
courriers électroniques contenant
des données à caractère personnel
à un destinataire erroné est dès lors
à qualifier de violation de données à
caractère personnel du type " violation
de la confidentialité " , cette
dernière ayant entraîné, de manière
accidentelle, une divulgation de
données à caractère personnel à des
personnes tierces qui n'étaient pas
autorisées à prendre connaissance
des informations contenues dans
les courriers électroniques et leurs
annexes. »3
Au vu de ce qui précède et
considérant que cette violation
présentait un risque élevé pour les
droits et libertés, la CNPD a estimé
que le responsable du traitement a
manqué à ses obligations (i) en ne
documentant pas la violation dans
son registre, (ii) en ne notifiant
pas ladite violation à l'autorité de
contrôle et en ne communiquant
pas à la personne concernée les
informations requises de l'article
34.1 du RGPD.
Enfin, la CNPD a retenu à l'encontre
de l'assureur un manquement à
l'obligation de sécurité, car, selon
elle, « un chiffrement par encryptage,
des mots de passe ou toute technique
garantissant une protection similaire
selon l'état de l'art actuel et les
bonnes pratiques applicables en la
matière, auraient dû être appliquées
aux communications en l'espèce
afin de garantir un niveau de sécurité
adapté aux risques d'atteinte à la
vie privée de la personne concernée,
surtout pour une entreprise comme
celle du contrôlé ». Partant, l'autorité
de contrôle luxembourgeoise
a prononcé une amende d'un
montant de 135.000 euros.
Quelles recommandations ?
Chaque incident doit être documenté
dans un registre, dans lequel une
analyse technique et juridique doit
indiquer si l'incident a un impact
sur des données personnelles en
termes d'intégrité, de confidentialité
et/ou de disponibilité.
Dans l'affirmative, il appartient au
responsable du traitement d'évaluer
le risque pour les droits et
libertés des personnes concernées.
Cette évaluation peut reposer sur
deux critères : la facilité d'identification
des personnes concernées
par la violation et le caractère
préjudiciable de la violation pour
ces personnes, étant précisé que
chacun de ces critères doit être
apprécié selon des valeurs : risque
maximal
(4), important (3), limité
(2), négligeable (1).
Selon les résultats de cette évaluation,
une notification s'impose si
un risque important a été identifié
(ex. : la valeur totale des deux critères
est égale à 6) ; une communication
aux personnes concernées se justifie
par ailleurs si un risque maximal
a été identifié (ex. : la valeur totale
des deux critères est supérieure à 6).
Alexandre FIEVEE
Avocat associé
Derriennic associés
Notes
(1) https://www.cnil.fr/fr/les-violations-dedonnees-personnelles
(2)
https://www.cnil.fr/fr/les-violations-dedonnees-personnelles
(3)
Délibération
n° 31FR/2021, 5 août 2021.

Vous avez envie de vous exprimer sur un sujet qui vous tient à cœur, de partager votre analyse
avec la communauté des lecteurs d'Expertises, d'exposer un point de vue différent sur un article
déjà publié, de lancer un débat sur un thème émergent, ou simplement de commenter l'actualité
du droit du numérique ?
Contactez la rédactrice en chef d'Expertises Sylvie Rozenfeld sr@expertises.info
EXPERTISES JANVIER 2022
39
https://www.cnil.fr/fr/les-violations-de-donnees-personnelles https://www.cnil.fr/fr/les-violations-de-donnees-personnelles

Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia

Couverture
SOMMAIRE
Editorial
FOCUS DONNÉES PERSONNELLES - PRÉSIDENTIELLES : ARSENAL ANTI-INGÉRENCES ÉTRANGÈRES
EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW - DROIT DU LOGICIEL : ETAT DES LIEUX
TABLES - UNE ANNÉE «D’EXPERTISES»
DOCTRINE
DROIT DES SÛRETÉS - LA DIGITALISATION DE L’ACTE DE CAUTIONNEMENT
MARCHÉS PUBLICS - RÉFORME DU CCAG-TIC
DROIT DE LA PREUVE - RECEVABILITÉ D'UNE CAPTATION VIDÉO ILLICITE
TECHNOLOGIES - L'ODYSSÉE DE L'INTELLIGENCE ARTIFICIELLE
RGPD - L’ENVOI D’UN COURRIEL À UN DESTINATAIRE ERRONÉ DOIT-IL ÊTRE NOTIFIÉ ?
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - Couverture
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - SOMMAIRE
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - Editorial
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - FOCUS DONNÉES PERSONNELLES - PRÉSIDENTIELLES : ARSENAL ANTI-INGÉRENCES ÉTRANGÈRES
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - 5
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - 7
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - 8
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - 9
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - 10
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - 12
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - INTERVIEW - DROIT DU LOGICIEL : ETAT DES LIEUX
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - 14
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - 15
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - 16
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - TABLES - UNE ANNÉE «D’EXPERTISES»
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - 18
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - 19
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - 20
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - 21
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - 22
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - DROIT DES SÛRETÉS - LA DIGITALISATION DE L’ACTE DE CAUTIONNEMENT
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - 24
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - 25
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - MARCHÉS PUBLICS - RÉFORME DU CCAG-TIC
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - 27
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - 28
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - 29
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - DROIT DE LA PREUVE - RECEVABILITÉ D'UNE CAPTATION VIDÉO ILLICITE
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - 31
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - TECHNOLOGIES - L'ODYSSÉE DE L'INTELLIGENCE ARTIFICIELLE
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - 33
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - 34
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - 35
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - 36
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - 37
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - RGPD - L’ENVOI D’UN COURRIEL À UN DESTINATAIRE ERRONÉ DOIT-IL ÊTRE NOTIFIÉ ?
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - 39
Expertises des Systèmes d'information - Janvier 2022 - N°475 - Le mensuel du droit de l'informatique et du multimédia - 40
https://www.nxtbook.fr/newpress/celog/celog-expertises-2210_483
https://www.nxtbook.fr/newpress/celog/celog-expertises-2209_482
https://www.nxtbook.fr/newpress/celog/celog-expertises-2207_481
https://www.nxtbook.fr/newpress/celog/celog-expertises-2206_480
https://www.nxtbook.fr/newpress/celog/celog-expertises-2205_479
https://www.nxtbook.fr/newpress/celog/celog-expertises-2204_478
https://www.nxtbook.fr/newpress/celog/celog-expertises-2203_477
https://www.nxtbook.fr/newpress/celog/celog-expertises-2202_476
https://www.nxtbook.fr/newpress/celog/celog-expertises-2201_475
https://www.nxtbook.fr/newpress/celog/celog-expertises-2112_474
https://www.nxtbook.fr/newpress/celog/celog-expertises-2111_473
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com