La protection de la vie privée est un enjeu majeur dès qu’on parle de données de santé. C’est un sujet très important pour Alan.
La CNIL ne s’y est pas trompée. Dans sa stratégie de contrôles en 2020 avant même la crise du COVID), l’autorité avait pour ambition d’axer son action de contrôle notamment sur les données de santé, des données sensibles qui font l’objet d’une protection spécifique.
Depuis l’entrée en vigueur du RGPD le 25 mai 2018, les enjeux d’un contrôle de la CNIL sont forts pour les entreprises auditées, les sanctions pouvant aller jusqu’à 4% du chiffre d’affaires mondial et être rendues publiques, ce qui crée un risque d’image important.
Être audité par la CNIL fait donc figure d’épouvantail dans la tech française. La relative absence de jurisprudence sur le sujet n’aide pas l’incertitude qui entoure cet événement. En effet seules les sanctions publiques, finalement rares, sont médiatisées, et peu de personnes connaissent l’existence de la liste des entreprises contrôlées.
Le 30 novembre 2020, nous recevions un ordre de mission de la Présidente de la CNIL chargeant ses agents d’effectuer un contrôle. Nous allions être audités.
Dans cet article, nous souhaitons partager notre expérience lors de ce contrôle, pour donner plus de visibilité à ce processus qui participe à la santé de l’écosystème tech français.
Nous recevons un paquet épais qui vient de la CNIL.
Dedans :
C’est donc officiel : on va être audités (et nous sommes de fait déjà en train de l’être !).
Dans une lettre séparée, nous sommes conviés au siège de la CNIL pour une journée d’audition le 15 décembre, donc 15 jours plus tard.
Cette lettre demandait les pièces suivantes :
Nous nous sommes donc mis en ordre de marche pour collecter toutes les informations.
Grâce au travail de documentation que nous avions fait en amont, la plupart de ces documents étaient déjà accessibles. Pour le reste, un effort ciblé de toute l’entreprise, coordonné par notre DPO Marion Bergeret, nous a permis de produire tous les documents nécessaires dans le temps imparti, tout en prenant l’initiative de corriger certains manquements relevés dans le procès-verbal de contrôle en ligne.
Nous souhaitions investir l’énergie suffisante dans la préparation pour que cet audit soit un succès, quitte à nous rendre compte ensuite que nous avions surinvesti.
Nous souhaitions aussi utiliser cet audit pour confirmer les priorités de notre programme de mise en conformité interne, et pour démontrer que nous priorisions bien la protection de la vie privée de nos membres.
C’est devenu notre “A+ problem” du moment.
Toutefois, nos clients sont nos membres, et pas la CNIL. Nous n’étions pas prêts à tout pour “plaire” à la CNIL, et nos limites devaient être claires :
L’objectif n’était pas de voir ça comme un exercice académique où il faudrait avoir 20/20.
Nous devions convaincre la CNIL que nos choix délibérés étaient les bons, ne pas nécessairement dire oui à tout, et toujours voir l’intérêt de nos membres dans les décisions prises.
Le risque est toujours de prendre des décisions sur la base d’intérêts immédiats, sur le moment, face à un contrôleur, et de détériorer l’expérience pour le long terme.
Nous devons être imaginatifs et convaincants pour protéger notre philosophie.
Chez Alan, ça faisait longtemps qu’on avait plus vu un CD-ROM. Donc forcément, on n’a plus de lecteur de CD.
On en a retrouvé un, mais il était cassé.
Finalement, on a dû mandater un membre de l’équipe pour en apporter un qu’il avait chez soi (et oui, on est tous en télétravail).
Une fois accédé au contenu du CD, on a accès à une archive 7-zip chiffrée.
On demande donc le mot de passe aux contrôleurs de la CNIL, qui nous donnent un mot de passe… qui ne semble pas fonctionner.
Avance rapide, après avoir passé 2 heures à s’arracher les cheveux, il se trouve qu’en fait c’est le MacOS natif “Archive Utility” qui n’arrive pas à gérer les mots de passe de 7-zip. Argh.
Après avoir utilisé un autre archive manager, on a finalement accès… au procès-verbal reçu en papier.
On est sortis par la porte d’entrée.
Après avoir hésité à nous faire accompagner par un avocat spécialisé, nous avons finalement décidé de nous présenter seuls à l’audition, forts du renforcement récent de nos équipes en legal/privacy et en sécurité.
Pour valider cette approche, nous avons passé plusieurs appels à des connaissances ayant fait face à un contrôle similaire, et à des Alaners qui avaient vécu des contrôles dans leurs anciennes entreprises. Notre contrôleuse de la CNIL nous a également confirmé par téléphone qu’il n’était pas obligatoire de mandater un avocat.
Si nous n'allions pas nous faire accompagner le jour de l’audit, nous avons quand même souhaité nous préparer à l’audition à travers une forme de répétition générale, avec l’aide d’un cabinet de conseil spécialisé en simulation de contrôle. Ceux-ci ont passé une journée entière avec nous en prenant le rôle des contrôleurs ce qui nous a permis de confirmer le ton à adopter et les éléments factuels à rassembler.
En deux petites semaines, nous avons pu :
Bien sûr, le travail ne s’achevait pas avec la tenue de l’audition !
Nous étions 3, Marion Bergeret (notre DPO), Olivier Sambourg (notre spécialiste en infrastructure et systèmes informatiques, ex-DPO) et moi-même au 20 avenue de Ségur à Paris pour l’audition en personne.
La journée a été intense.
La matinée a commencé par une présentation en détail d’Alan, nos chiffres, nos effectifs, nos activités.
Puis la discussion s’est orientée vers les traitements de données liés à notre parcours client, nos opérations d’assurances et de prospection. Nous avons décortiqué tous nos flux de données, leur finalité, base légale, notre position de responsable de traitement, ou encore les règles que nous nous imposons quand nous traitons des données de santé.
Un temps fort lors de l’audition a été quand nous nous sommes rendus compte que nous n'appliquions pas les règles que nous nous étions fixées en termes de durée de conservation des données de comptes créés par des utilisateurs qui ne s’étaient finalement pas assurés.
Cela s’est révélé à travers des requêtes SQL en live avec les contrôleurs. Forcés d’admettre que nous n’avions pas repéré ce "trou" dans notre politique de conservation, nous leur avons proposé d’y remédier rapidement. Ils nous ont donné 8 jours, avec inscription au procès-verbal du contrôle.
Comme tous les restaurants étaient fermés, nous avons eu accès au restaurant de la CNIL, et, bonheur du calendrier, nous avons profité du repas de Noël.
Les questions de la CNIL se sont concentrées sur le parcours d’inscription final de nos assurés, et sur les mesures de sécurité que nous avons mises en œuvre pour nos interfaces.
Nous avons pu discuter avec nos auditeurs des signalements d’incidents de sécurité que nous avions pu enregistrer dans les semaines qui avaient précédé le contrôle, et obtenir confirmation de leur part de notre calibrage de la notification à la CNIL.
Nous sommes repartis rassurés dans notre compréhension de ce mécanisme : le fait de signaler un incident de sécurité, quel qu’il soit, ne déclenche pas automatiquement d’enquête ni de sanction. Il nous a semblé comprendre que la CNIL cherchait avant tout à pouvoir contrôler la bonne prise en charge de tels incidents, inévitables par ailleurs. Une manière à la fois de forcer la documentation et d’obtenir des statistiques, finalement.
Les contrôleurs s’isolent pour écrire le procès-verbal de la journée.
Après la délibération et la vérification du projet de procès-verbal par nos soins, nous partions après cette journée bien chargée.
Nous étions plutôt optimistes, rassurés par le contact franc que nous avions eu avec l’équipe conduisant l’audition côté CNIL, et déjà concentrés sur les quelques mesures correctives d’ores et déjà identifiées dans le PV.
Nous savions aussi qu’il resterait beaucoup de travail ensuite.
La semaine suivant l’audition, nous avons travaillé sur les quelques actions correctives immédiates demandées par la CNIL, notamment la purge des données des comptes non-assurés après 2 ans, et l’envoi de contrat de sous-traitants que nous n’avions pas sous la main au moment du contrôle.
Début janvier, après une étude plus approfondie des éléments qu’ils avaient collectés, la CNIL nous a demandé, par email, de lui faire parvenir des informations complémentaires. Elle nous demandait de lui transmettre notre registre des activités de traitements sous un format plus facile à lire (nous avions fait un export de notre registre Notion), une copie de notre mail d’invitation pour les employés qu’elle n’avait pas relevé lors du contrôle, des copies écrans de notre parcours utilisateur (sur lequel elle avait relevé des défauts d’information que nous avions pu corriger entre temps), et des précisions sur notre registre des incidents de sécurité.
Tous les mois par la suite, nous nous sommes appliqués à communiquer les progrès que nous avions fait de manière spontanée, afin de tenir la CNIL informée de l’avancement de notre programme de mise en conformité:
Ces travaux étaient un mélange de points qui figuraient déjà sur notre roadmap de mise en conformité avant le contrôle, et d’actions prioritaires que nous avions identifiées à la suite de notre audition, sur la base des questions posées par la CNIL.
Nous avons envoyé ces mises à jour à l’équipe de la CNIL qui avait réalisé notre contrôle par email. Nous leur avions parlé de cette idée de mises à jour mensuelles lors de notre audition, lorsqu’ils nous avaient prévenus que la décision finale pouvait prendre plusieurs mois.
Ils nous avaient alors encouragés à leur faire parvenir ces mises à jour, pour que leur décision finale soit en lien avec le dernier état des choses côté Alan.
Le 15 mars 2021, trois mois jour pour jour après notre audition, nous avons reçu une nouvelle lettre de la Présidente de la CNIL annonçant sa décision (vous pouvez la lire dans son intégralité en bas de cette page). L’audit était clos !
La CNIL nous a fait remarquer que certains points restaient à être adressés, et notamment:
Dans d’autres contrôles dont nous avons eu connaissance, la CNIL a pu donner des délais pour répondre à ses demandes. Dans notre cas, nous avons eu carte blanche pour fixer notre propre calendrier (ce dont nous sommes très reconnaissants). En même temps, nous savons que la CNIL peut nous contacter ou effectuer un nouveau contrôle à tout moment. Nous sommes convaincus que la sanction serait plus sévère si nous n’étions pas capables de montrer nos investissements sur ces différents points de manière convaincante.
Comme chacun le sait, la conformité au RGPD présente des complexités tant de définition que de mise en œuvre qui nous empêchent de régler tous les problèmes instantanément. Nous avons inscrits tous les axes d’amélioration du contrôle sur notre roadmap, et nous les abordons par ordre de priorité et sur la base d’un calendrier pragmatique.
Par exemple, en ce qui concerne le cadre de notre sous-traitance auprès des entreprises dont nous assurons les employés:
Il fallait donc que nous mettions à jour notre documentation contractuelle et notre registre.
sous-traitance à notre “package” contractuel classique, pour qu’il couvre toutes les entreprises qui souscrivent à Alan, au moment de la campagne de renouvellement annuel des contrats (à partir de septembre 2021).
Nous essayons toujours de grouper les mises à jour contractuelles afin de ne pas perturber l’expérience utilisateur plusieurs fois au cours d’une même année ni multiplier les conditions contractuelles en vigueur.
La route ne s’arrête pas là. La défense de la vie privée est un travail quotidien, dans les décisions produit que nous prenons, dans l’allocation de nos ressources en tant qu’entreprise, dans nos choix d’hébergement, dans notre documentation, etc..
Nous allons continuer à investir pour faire que les données personnelles restent en sécurité avec Alan.
Nous savons également que la transparence sur ces sujets ne va pas de soi. Nous aimerions tous pouvoir nous réclamer de ceux qui sont “100% en conformité”.
Mais en pratique, personne n’est parfait.
Nous sommes une entreprise en pleine croissance, avec des ressources limitées, et nous aurons toujours du travail en la matière. Il nous semble qu’être franc en la matière ne peut qu’assainir le débat. Quoi qu’il en soit, nous nous engageons à toujours protéger les intérêts de nos membres de manière pragmatique, transparente, et de bonne foi.
Nous tenons aussi à être transparents sur la suite des évènements : nous publierons une mise à jour sur notre mise en œuvre des recommandations et les éventuels futurs contacts avec la CNIL, s’il y en a.
Je souhaite remercier nos contrôleurs (qui nous ont demandé de ne pas publier leurs noms) pour leur amabilité, leurs questions pertinentes et leur approche pragmatique, ainsi que la CNIL qui continue d'œuvrer pour la protection de la vie privée des utilisateurs de tous services tout en autonomisant les entreprises qui y participent.
La lettre de la CNIL clôturant notre contrôle 👇