Politique des contrôles de la CNIL en 2020 : attention à la sécurité des données de santé

Dans un communiqué publié le 12 mars 2020, la CNIL a annoncé sa stratégie de contrôle annuelle. En plus de son activité habituelle, la CNIL concentrera ses contrôles sur les mesures de sécurité mises en œuvre pour la protection des données personnelles de santé. A ce titre, les fabricants de dispositifs médicaux sont concernés, tout comme les prestataires de services qui interviennent dans le traitement des données de santé.

On rappelle que les données de santé bénéficient d’une protection particulière : elles sont qualifiées par le RGPD de « données sensibles ». Sont des données de santé les « données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne » (art 4.15 RGPD).

Sécurité de vos données de santé : les outils accessibles

• L’hébergeur de données de santé

La première précaution, voire obligation, pour sécuriser ses données de santé, est de faire héberger ses données de santé par un hébergeur de données de santé, bien entendu dans le cas où le recours à un tel hébergeur est requis (L.1111-8 du code de santé publique). En effet, en cas d’« auto-hébergement » des données de santé, par exemple par un établissement de santé, le recours à un hébergeur spécialisé n’est pas nécessaire.

L’intervention d’un hébergeur de données de santé, par les exigences qu’il imposera, est un moyen de mettre en place le degré de sécurité attendu pour les traitements de données de santé.

• Les référentiels et autres chartes de sécurité des données de santé

Dans un deuxième temps, il peut être fait recours aux outils de sécurité proposés par des diverses entités.

L’Agence Nationale de Santé (ANS, ex ASIP Santé) a été créée notamment avec la mission statutaire de mettre en place des référentiels d’interopérabilité et de sécurité des données de santé (L.1110-4-1 du code de la santé publique). L’objectif est de garantir leur échange, leur partage et leur confidentialité. L’ANS remplit cette mission par l’élaboration et la mise à disposition sur son site internet de la « Politique Générale de Sécurité des Systèmes d’Information de Santé » (PGSSI-S).

Même si ces outils sont a priori destinés aux acteurs publics des secteurs santé, médico-social et social et non aux entreprises du secteur privé, ces dernières devront de fait s’y conformer dès lors qu’elles proposent des produits ou des services aux acteurs du secteur public.

La PGSSI-S se compose de différents référentiels portant sur un thème spécifique. Il s’agit par exemple de référentiels concernant les dispositifs connectés, les accès Wifi, la destruction des données de santé ou les règles de sauvegarde.

Pour les applications et objets connectés collectant des données de santé mais n’ayant pas de finalité médicale, un référentiel intéressant est fourni par la HAS : le référentiel de bonnes pratiques sur les applications et les objets connectés en santé (mobile Health ou mHealth). Ce référentiel contient des développements sur la sécurité. Il liste notamment les critères à considérer pour assurer la sécurité et fiabilité du produit connecté et par conséquent des données qu’il collecte.

• Les outils plus « généralistes »

La sécurité des données de santé passe encore par la mise en œuvre d’outils plus généralistes destinés à apprécier les risques potentiels sur les données personnelles. L’analyse d’impact permet d’identifier et d’évaluer les sources de risques pour les droits et libertés des personnes concernées (accès illégitime à des données, modification non désirée de données, disparition de données, etc.) ainsi que les mesures réalisables pour y remédier. Elle est obligatoire lorsque le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées » (art. 35 RGPD).

Afin d’aider les responsables de traitement à décider si l’analyse d’impact s’impose, la CNIL a spécifié pour certains traitements si l’analyse d’impact était requise ou non. L’on pourra aussi se référer aux lignes directrices concernant l’analyse d’impact du G29 (pages 10 à 13). Ce document, bien qu’antérieur au RGPD, reste intéressant.

Les contrôles opérés par la CNIL

Les contrôles initiés en raison de la politique annuelle de la CNIL pourront avoir lieu sur place, sur pièces, sur convocations ou en ligne.

La CNIL publie d’ailleurs en open data disponibles sur la plateforme gouvernementale destinée à la diffusion des données publiques française la liste, instructive, de ses contrôles annuels.

En cas de manquement et selon son degré de gravité, la CNIL pourrait soit prononcer une mise en demeure imposant à l’organisme de se conformer aux textes dans un délai de 6 à 12 mois, soit prononcer une sanction pécuniaire (au maximum 4% du chiffre d’affaire mondiale ou 20 millions d’euros) ou non-pécuniaire (rappel à l’ordre, injonction sous astreinte, etc.). La CNIL pourra choisir de rendre ses décisions publiques, c’est-à-dire les publier sur le site legifrance.fr.

Avec l’entrée en vigueur du RGDP, une plus grande maturité dans le traitement des données personnelles est demandée aux responsables de traitement. A ce titre, non seulement la sécurité des données de santé ne devra pas être négligée, mais le niveau d’exigence des autorités devrait logiquement s’élever dans le temps.