La protection de la vie privée est un enjeu majeur dès qu’on parle de données de santé. C’est un sujet très important pour Alan. La CNIL ne s’y est pas trompée. Dans sa stratégie de contrôles en 2020 avant même la crise du COVID, l’autorité avait pour ambition d’axer son action de contrôle notamment sur les données de santé, des données sensibles qui font l’objet d’une [protection spécifique](https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante#:~:text=Les données à caractère personnel,de santé de cette personne.). Depuis l’entrée en vigueur du RGPD le 25 mai 2018, les enjeux d’un contrôle de la CNIL sont forts pour les entreprises auditées, les sanctions pouvant aller jusqu’à 4% du chiffre d’affaires mondial et être rendues publiques, ce qui crée un risque d’image important. Être audité par la CNIL fait donc figure d’épouvantail dans la tech française. La relative absence de jurisprudence sur le sujet n’aide pas l’incertitude qui entoure cet événement. En effet seules les sanctions publiques, finalement rares, sont médiatisées, et peu de personnes connaissent l’existence de la liste des entreprises contrôlées. Le 30 novembre 2020, nous recevions un ordre de mission de la Présidente de la CNIL chargeant ses agents d’effectuer un contrôle. Nous allions être audités. Dans cet article, nous souhaitons partager notre expérience lors de ce contrôle, pour donner plus de visibilité à ce processus qui participe à la santé de l’écosystème tech français.

Bureaux d’Alan, le 30 novembre 2020

Nous recevons un paquet épais qui vient de la CNIL. Dedans :

• Une notification du service des contrôles
• La décision de la Présidente de la CNIL de faire procéder à une mission de vérification
• Un ordre de mission qui détermine qui va nous contrôler et le périmètre du contrôle
• Un procès verbal de 29 pages de constatations en ligne portant sur notre site alan.com et notre application mobile “Alan: l’assurance santé qui fait du bien”
• Trois annexes qui viennent détailler l’environnement technique du contrôle en ligne dont une annexe de configuration technique de l’environnement de contrôle en ligne de 8 pages
• Un DVD-ROM (en fait un CD-ROM)

C’est donc officiel : on va être audités (et nous sommes de fait déjà en train de l’être !). Dans une lettre séparée, nous sommes conviés au siège de la CNIL pour une journée d’audition le 15 décembre, donc 15 jours plus tard. Cette lettre demandait les pièces suivantes :

• Les trois derniers bilans comptables de la société ALAN, comportant le chiffre d’affaires de la société et le compte de résultat complet ;
• communiquer, le cas échéant, les comptes consolidés au niveau du groupe pour ces trois dernières années ;
• Le registre des activités de traitement des données à caractère personnel ;
• Les analyses d’impact éventuellement réalisées ;
• Le registre des violations de données à caractère personnel ;
• Les contrats conclus avec vos sous-traitants ayant accès à vos bases de données à caractère personnel ;
• Plus généralement, tout document permettant d’établir la conformité des traitements de données à caractère personnel aux dispositions du règlement et de la loi précités.

Nous nous sommes donc mis en ordre de marche pour collecter toutes les informations. Grâce au travail de documentation que nous avions fait en amont, la plupart de ces documents étaient déjà accessibles. Pour le reste, un effort ciblé de toute l’entreprise, coordonné par notre DPO Marion Bergeret, nous a permis de produire tous les documents nécessaires dans le temps imparti, tout en prenant l’initiative de corriger certains manquements relevés dans le procès-verbal de contrôle en ligne.

Notre philosophie pour le contrôle

Nous souhaitions investir l’énergie suffisante dans la préparation pour que cet audit soit un succès, quitte à nous rendre compte ensuite que nous avions surinvesti. Nous souhaitions aussi utiliser cet audit pour confirmer les priorités de notre programme de mise en conformité interne, et pour démontrer que nous priorisions bien la protection de la vie privée de nos membres. C’est devenu notre “A+ problem” du moment. Toutefois, nos clients sont nos membres, et pas la CNIL. Nous n’étions pas prêts à tout pour “plaire” à la CNIL, et nos limites devaient être claires :

• on ne fait pas de théâtre administratif qui n'améliorent pas la protection dans le fond
• on ne remet pas en cause toutes les décisions prises par le passé - si nous avions pu faire des compromis par rapport à la stricte doctrine de la CNIL, de manière pragmatique et justifiée, nous souhaitions les assumer
• on priorise toujours l’expérience utilisateur

L’objectif n’était pas de voir ça comme un exercice académique où il faudrait avoir 20/20. Nous devions convaincre la CNIL que nos choix délibérés étaient les bons, ne pas nécessairement dire oui à tout, et toujours voir l’intérêt de nos membres dans les décisions prises. Le risque est toujours de prendre des décisions sur la base d’intérêts immédiats, sur le moment, face à un contrôleur, et de détériorer l’expérience pour le long terme. Nous devons être imaginatifs et convaincants pour protéger notre philosophie.

Etape 1 : Escape game sur CD-ROM

Chez Alan, ça faisait longtemps qu’on avait plus vu un CD-ROM. Donc forcément, on n’a plus de lecteur de CD. On en a retrouvé un, mais il était cassé. Finalement, on a dû mandater un membre de l’équipe pour en apporter un qu’il avait chez soi (et oui, on est tous en télétravail). Une fois accédé au contenu du CD, on a accès à une archive 7-zip chiffrée. On demande donc le mot de passe aux contrôleurs de la CNIL, qui nous donnent un mot de passe… qui ne semble pas fonctionner. Avance rapide, après avoir passé 2 heures à s’arracher les cheveux, il se trouve qu’en fait c’est le MacOS natif “Archive Utility” qui n’arrive pas à gérer les mots de passe de 7-zip. Argh. Après avoir utilisé un autre archive manager, on a finalement accès… au procès-verbal reçu en papier. On est sortis par la porte d’entrée.

Etape 2 : Mise en ordre pour se préparer à l’Audition

Après avoir hésité à nous faire accompagner par un avocat spécialisé, nous avons finalement décidé de nous présenter seuls à l’audition, forts du renforcement récent de nos équipes en legal/privacy et en sécurité. Pour valider cette approche, nous avons passé plusieurs appels à des connaissances ayant fait face à un contrôle similaire, et à des Alaners qui avaient vécu des contrôles dans leurs anciennes entreprises. Notre contrôleuse de la CNIL nous a également confirmé par téléphone qu’il n’était pas obligatoire de mandater un avocat. Si nous n'allions pas nous faire accompagner le jour de l’audit, nous avons quand même souhaité nous préparer à l’audition à travers une forme de répétition générale, avec l’aide d’un cabinet de conseil spécialisé en simulation de contrôle. Ceux-ci ont passé une journée entière avec nous en prenant le rôle des contrôleurs ce qui nous a permis de confirmer le ton à adopter et les éléments factuels à rassembler. En deux petites semaines, nous avons pu :

• Accélérer notre compréhension des règles légales encadrant notre utilisation des données personnelles en tant qu’organisation
• Clarifier tous les flux de données dans notre produit
• Réparer certaines features basées sur des décisions prises lorsqu’Alan était une entreprise aux moyens limités (par exemple on acceptait des mots de passe trop faibles)
• Préparer des réponses pour justifier à la fois nos axes d’amélioration et travaux en cours, ainsi que certains choix forts (comme sur la transparence radicale ou la distribution de responsabilités), et montrer notre proactivité
• Sur certains sujets, nous avons réalisé que nous devions prendre du recul pour réfléchir aux compromis et les remettre sur la table.
• Nous avons également pris le temps de préparer nos réponses pour expliquer à la CNIL notre démarche.

Bien sûr, le travail ne s’achevait pas avec la tenue de l’audition !

Etape 3 : Audition - 15 décembre 2020

9h30

Nous étions 3, Marion Bergeret (notre DPO), Olivier Sambourg (notre spécialiste en infrastructure et systèmes informatiques, ex-DPO) et moi-même au 20 avenue de Ségur à Paris pour l’audition en personne. La journée a été intense. La matinée a commencé par une présentation en détail d’Alan, nos chiffres, nos effectifs, nos activités. Puis la discussion s’est orientée vers les traitements de données liés à notre parcours client, nos opérations d’assurances et de prospection. Nous avons décortiqué tous nos flux de données, leur finalité, base légale, notre position de responsable de traitement, ou encore les règles que nous nous imposons quand nous traitons des données de santé. Un temps fort lors de l’audition a été quand nous nous sommes rendus compte que nous n'appliquions pas les règles que nous nous étions fixées en termes de durée de conservation des données de comptes créés par des utilisateurs qui ne s’étaient finalement pas assurés. Cela s’est révélé à travers des requêtes SQL en live avec les contrôleurs. Forcés d’admettre que nous n’avions pas repéré ce "trou" dans notre politique de conservation, nous leur avons proposé d’y remédier rapidement. Ils nous ont donné 8 jours, avec inscription au procès-verbal du contrôle.

Pause déjeuner

Comme tous les restaurants étaient fermés, nous avons eu accès au restaurant de la CNIL, et, bonheur du calendrier, nous avons profité du repas de Noël.

L’après-midi

Les questions de la CNIL se sont concentrées sur le parcours d’inscription final de nos assurés, et sur les mesures de sécurité que nous avons mises en œuvre pour nos interfaces. Nous avons pu discuter avec nos auditeurs des signalements d’incidents de sécurité que nous avions pu enregistrer dans les semaines qui avaient précédé le contrôle, et obtenir confirmation de leur part de notre calibrage de la notification à la CNIL. Nous sommes repartis rassurés dans notre compréhension de ce mécanisme : le fait de signaler un incident de sécurité, quel qu’il soit, ne déclenche pas automatiquement d’enquête ni de sanction. Il nous a semblé comprendre que la CNIL cherchait avant tout à pouvoir contrôler la bonne prise en charge de tels incidents, inévitables par ailleurs. Une manière à la fois de forcer la documentation et d’obtenir des statistiques, finalement.

17h30

Les contrôleurs s’isolent pour écrire le procès-verbal de la journée.

20h30

Après la délibération et la vérification du projet de procès-verbal par nos soins, nous partions après cette journée bien chargée. Nous étions plutôt optimistes, rassurés par le contact franc que nous avions eu avec l’équipe conduisant l’audition côté CNIL, et déjà concentrés sur les quelques mesures correctives d’ores et déjà identifiées dans le PV. Nous savions aussi qu’il resterait beaucoup de travail ensuite.

Etape 4 : Post-Audition

La semaine suivant l’audition, nous avons travaillé sur les quelques actions correctives immédiates demandées par la CNIL, notamment la purge des données des comptes non-assurés après 2 ans, et l’envoi de contrat de sous-traitants que nous n’avions pas sous la main au moment du contrôle. Début janvier, après une étude plus approfondie des éléments qu’ils avaient collectés, la CNIL nous a demandé, par email, de lui faire parvenir des informations complémentaires. Elle nous demandait de lui transmettre notre registre des activités de traitements sous un format plus facile à lire (nous avions fait un export de notre registre Notion), une copie de notre mail d’invitation pour les employés qu’elle n’avait pas relevé lors du contrôle, des copies écrans de notre parcours utilisateur (sur lequel elle avait relevé des défauts d’information que nous avions pu corriger entre temps), et des précisions sur notre registre des incidents de sécurité. Tous les mois par la suite, nous nous sommes appliqués à communiquer les progrès que nous avions fait de manière spontanée, afin de tenir la CNIL informée de l’avancement de notre programme de mise en conformité:

• nous avons achevé de collecter et répertorier les contrats avec nos sous-traitants qu’il nous manquait;
• nous avons mis à jour certaines mentions d’information sur nos formulaires de collecte de données personnelles;
• nous avons publié nos conditions d’utilisations pour clarifier le rôle que nous avions dans le traitement des données hors services d’assurance;
• nous avons défini avec plus de précision notre politique de conservation des données liées à nos services d’assurance;
• nous avons créé et délivré une nouvelle formation sur la protection des données destinée à nos ingénieurs;
• nous avons travaillé à préciser notre rôle de sous-traitant dans le cadre de certains services que nous fournissons pour faciliter la vie des administrateurs des entreprises dont nous assurons les salariés (par exemple, la connection automatique à leur système de paie)

Ces travaux étaient un mélange de points qui figuraient déjà sur notre roadmap de mise en conformité avant le contrôle, et d’actions prioritaires que nous avions identifiées à la suite de notre audition, sur la base des questions posées par la CNIL. Nous avons envoyé ces mises à jour à l’équipe de la CNIL qui avait réalisé notre contrôle par email. Nous leur avions parlé de cette idée de mises à jour mensuelles lors de notre audition, lorsqu’ils nous avaient prévenus que la décision finale pouvait prendre plusieurs mois. Ils nous avaient alors encouragés à leur faire parvenir ces mises à jour, pour que leur décision finale soit en lien avec le dernier état des choses côté Alan.

Etape 5 : Post-clôture

Le 15 mars 2021, trois mois jour pour jour après notre audition, nous avons reçu une nouvelle lettre de la Présidente de la CNIL annonçant sa décision (vous pouvez la lire dans son intégralité en bas de cette page). L’audit était clos ! La CNIL nous a fait remarquer que certains points restaient à être adressés, et notamment:

• continuer la mise en oeuvre technique de nos durées de conservation;
• nous assurer que des liens renvoyant à notre politique de confidentialité sont bien présents sur tous nos formulaires de collecte de données personnelles;
• achever de clarifier le cadre juridique nous liant à nos partenaires pour certains de nos services à destination des entreprises (notamment lorsque nous agissons en tant que sous-traitant);
• continuer à notifier à la CNIL tout incident impliquant des données personnelles lorsqu’il comporte un risque pour les personnes concernées (nous n’avions acquis ce réflexe que depuis quelques mois) et à revoir nos procédures internes lorsque les incidents le justifient.

Dans d’autres contrôles dont nous avons eu connaissance, la CNIL a pu donner des délais pour répondre à ses demandes. Dans notre cas, nous avons eu carte blanche pour fixer notre propre calendrier (ce dont nous sommes très reconnaissants). En même temps, nous savons que la CNIL peut nous contacter ou effectuer un nouveau contrôle à tout moment. Nous sommes convaincus que la sanction serait plus sévère si nous n’étions pas capables de montrer nos investissements sur ces différents points de manière convaincante. Comme chacun le sait, la conformité au RGPD présente des complexités tant de définition que de mise en œuvre qui nous empêchent de régler tous les problèmes instantanément. Nous avons inscrits tous les axes d’amélioration du contrôle sur notre roadmap, et nous les abordons par ordre de priorité et sur la base d’un calendrier pragmatique. Par exemple, en ce qui concerne le cadre de notre sous-traitance auprès des entreprises dont nous assurons les employés:

• Les questions de la CNIL lors de notre audition nous ont permis de réaliser que nous avions développé un certain nombre de services aux entreprises sur lesquels nous n’étions pas forcément responsable de traitement, mais plutôt sous-traitant (décembre 2020).

Il fallait donc que nous mettions à jour notre documentation contractuelle et notre registre.

• La première étape de notre mise en conformité a consisté à répertorier, avec l’aide de nos équipes produit, tous les traitements sur lesquels nous pourrions être considérés comme un sous-traitant parce que nous poursuivons en fait les finalités des entreprises plutôt que les nôtres (février-avril 2021)
• Ensuite, nous avons préparé un contrat de sous-traitance (ou Data Processing Agreement) conforme aux exigences du RGPD, ainsi qu’un nouveau registre en tant que sous-traitant (avril-mai 2021)
• Dans les prochaines semaines, nous allons faire accepter le contrat de sous-traitance à toutes les entreprises utilisant notre nouvelle interface (API) de connexion aux systèmes de paie, ce qui implique de coordonner nos équipes design et ingénieurs (pour créer la page d’onboarding) et juridiques (pour s’assurer que le mécanisme d’acceptation est présenté correctement) (mai-juin 2021)
• Enfin, dans quelques mois, nous ajouterons le contrat de sous-traitance à notre “package” contractuel classique, pour qu’il couvre toutes les entreprises qui souscrivent à Alan, au moment de la campagne de renouvellement annuel des contrats (à partir de septembre 2021).

Nous essayons toujours de grouper les mises à jour contractuelles afin de ne pas perturber l’expérience utilisateur plusieurs fois au cours d’une même année ni multiplier les conditions contractuelles en vigueur.

• Finalement, il nous aura fallu quasiment un an pour nous mettre en conformité sur ce point, et ce malgré des ressources motivées et performantes en interne. Et la mise en conformité continue: il faudra tenir à jour notre documentation contractuelle au fur et à mesure de l’évolution de notre produit!

Epilogue

La route ne s’arrête pas là. La défense de la vie privée est un travail quotidien, dans les décisions produit que nous prenons, dans l’allocation de nos ressources en tant qu’entreprise, dans nos choix d’hébergement, dans notre documentation, etc.. Nous allons continuer à investir pour faire que les données personnelles restent en sécurité avec Alan. Nous savons également que la transparence sur ces sujets ne va pas de soi. Nous aimerions tous pouvoir nous réclamer de ceux qui sont “100% en conformité”. Mais en pratique, personne n’est parfait. Nous sommes une entreprise en pleine croissance, avec des ressources limitées, et nous aurons toujours du travail en la matière. Il nous semble qu’être franc en la matière ne peut qu’assainir le débat. Quoi qu’il en soit, nous nous engageons à toujours protéger les intérêts de nos membres de manière pragmatique, transparente, et de bonne foi. Nous tenons aussi à être transparents sur la suite des évènements : nous publierons une mise à jour sur notre mise en œuvre des recommandations et les éventuels futurs contacts avec la CNIL, s’il y en a. Je souhaite remercier nos contrôleurs (qui nous ont demandé de ne pas publier leurs noms) pour leur amabilité, leurs questions pertinentes et leur approche pragmatique, ainsi que la CNIL qui continue d'œuvrer pour la protection de la vie privée des utilisateurs de tous services tout en autonomisant les entreprises qui y participent. La lettre de la CNIL clôturant notre contrôle