VOTRE SANTÉ DANS LE VISEUR : RÉTROSPECTIVE CNIL 2021

Secteur en proie à de nombreuses cyberattaques et confronté à une forte règlementation, la santé était annoncée comme un chantier prioritaire de la CNIL pour l’année 2021. L’occasion de faire un retour sur les mouvements de la CNIL dans le domaine au cours de l’année passée.

Au titre de ses champs d’intervention prioritaires pour l’année 2021, la Commission nationale de l’informatique et des libertés (CNIL) a indiqué, dans une communication du 2 mars 2021, que ses contrôles seraient renforcés dans le domaine de la sécurité des données de santé « dans le contente sanitaire actuel et compte tenu des enjeux toujours croissants liés à la numérisation du secteur de la santé ».

Il est vrai que la santé, et plus particulièrement la sécurité des données de santé, fait l’objet d’un intérêt particulier :

• D’une part, le secteur est en proie à de nombreuses attaques informatiques, en témoigne notamment, entre autres exemples, la fuite de données de santé constatée par l’Assistance Publique – Hôpitaux de Paris (AP-HP) concernant 1,4 million de personnes testées contre la Covid-19 mi-2020 (la CNIL a d’ailleurs proposé des lignes directrices sur le sujet) ;

• D’autre part, le secteur sanitaire fait l’objet, compte tenu de la particularité et de la sensibilité des données concernées, d’un traitement spécifique au sein du RGPD, à l’instar d’autres types de données telles que les opinions religieuses, politiques, etc. En sus du RGPD, l’ensemble des acteurs de la santé doivent composer avec de nombreuses dispositions qui s’imbriquent pour constituer un secteur particulièrement règlementé (secret médical, hébergement de données de santé, dispositif médical, etc.).

Face à cette hausse exponentielle du nombre de cyberattaques et de forte activité de la part des autorités de contrôle, les acteurs doivent redoubler de vigilance. Les experts data du cabinet d’avocats ALTIJ vous propose de faire un point des mouvements de la CNIL en la matière en 2021.

Ces douze derniers mois, la CNIL a mis en demeure la société Francetest pour sécurisation insuffisante des données de santé. En l’occurrence, le 27 août 2021, la CNIL a reçu un signalement anonyme indiquant l’existence d’une violation de sécurité affectant le site francetest.fr ; site permettant la simplification de la collecte et la transmission de données liées à la réalisation de tests antigéniques.

En l’espèce, des contrôles ont permis de démontrer l’existence d’une violation de données. La base de données exposée concernait 386 970 personnes uniques et comportait leur nom, prénom, adresse électronique, numéro de téléphone, date de naissance, résultat du test (positif ou négatif) et numéro de sécurité sociale.

Bien que la société ait pris des mesures pour remédier à la vulnérabilité à l’origine des données, il n’en demeure pas moins que certaines insuffisances en matière de sécurité demeuraient : hébergement chez un prestataire ne disposant pas d’un agrément HDS (Hébergement de données de santé), insuffisances des processus d’authentification, faiblesse des procédés cryptologiques employés et carences dans la journalisation - procédé visant à l’enregistrement des actions des personnes accédant à l’outil - des activités des serveurs.

La CNIL a ainsi décidé de rendre publique la lettre de mise en demeure en raison de la sensibilité des données traitées ainsi que de la nécessité d’informer l’ensemble des personnes concernées par les traitements en cause de l’existence de manquements persistants à la sécurité des données.

Cette mise en demeure n’est pas la seule action de la CNIL dans le domaine de la santé au cours de l’année.

L’autorité a par ailleurs été particulièrement impliquée dans la gestion de la crise sanitaire et la fourniture de divers avis s’agissant des dispositifs mis en place dans ce cadre, et ce, depuis le mois de mars 2020. On note à cet effet que, par une délibération du 1er juillet 2021, la CNIL a rappelé les principes à respecter pour diffuser aux médecins la liste de leurs patients non vaccinés, notamment s’agissant de l’obligation pour ces derniers de détruire la liste à l’issue des campagnes de sensibilisation. Le risque de sollicitations excessives des personnes concernées a été également mis en exergue par l’autorité.

La CNIL a également déployé un référentiel destiné à aider les responsables de traitement dans le cadre de la gestion de la conformité RGPD. À cet effet, un référentiel sur les entrepôts de données de santé a été publié ; à savoir les bases de données destinées à être utilisées notamment à des fins de recherches, d’études ou d’évaluations dans le domaine de la santé. Ce référentiel permet aux organismes voulant mettre en œuvre un entrepôt de données conforme au référentiel de ne pas solliciter d’autorisation préalable auprès de la CNIL. Toutefois, ce référentiel ne s’applique qu’aux entrepôts de données de santé reposant sur l’exercice d’une mission d’intérêt public au sens de l’article 6.1.e du RGPD.

L’autorité de contrôle française a par ailleurs organisé une consultation publique sur un référentiel pour la gestion des pharmacies en octobre 2021, dont le document de référence était jusqu’à l’entrée du vigueur du RGPD était la norme simplifiée 52 adoptée par la CNIL, laquelle n’est ainsi plus en vigueur depuis. Cette consultation a pris fin au 29 novembre 2021. Les acteurs du secteur sont dorénavant dans l’attente du référentiel établi et en passe d’être adopté par la CNIL.

Autant d’éléments qui témoignent du véritable millefeuille de règlementations s’appliquant au secteur sanitaire. Nos avocats du pôle Protection des données vous accompagnent afin de vous aider dans la mise en œuvre de votre documentation de votre conformité au RGPD et dans l’appréhension de règles spécifiques applicables au regard de la particularité des données de santé.

L'ÉQUIPE IP / IT DATA

Dans le cadre de son activité dédiée à la protection des données, le cabinet d’avocats ALTIJ assiste les organismes publics et privés afin de faire face aux défis de la nouvelle économie numérique et à l’exploitation exponentielle des données à caractère personnel et à caractère non personnel. Nos équipes se tiennent à votre disposition afin de vous accompagner dans l’appréhension du contexte règlementaire afférent et de sa mise en œuvre pratique.