Contrôles dans le domaine de la santé : la Cnil renforce ses équipes

RGPD au secteur de la santéLa Cnil renforce ses équipes dédiées aux contrôles dans le domaine de la santé en habilitant des agents spécialisés pour une durée de cinq ans.

ِDe nouvelles habilitations

Une délibération du 23 septembre 2021 (1) habilite certains agents de la Cnil à effectuer des contrôles. Huit de ces agents nouvellement habilités sont dédiés aux contrôles dans le domaine de la santé :

  • sept juristes au service de la santé à la direction de la conformité
  • un ingénieur référent santé au service de l’expertise technologique à la direction des technologies et de l’innovation

La Cnil habilite ces agents, à raison de leurs fonctions (ingénieurs, experts, juristes conformités) et de leur expertise dans le domaine de la santé. Ces derniers peuvent donc effectuer les visites et vérifications mentionnées à l’article 19 de la loi du 6 janvier 1978 pour effectuer des missions de contrôle dans le domaine de la santé.

Les habilitations sont délivrées pour une durée de cinq ans.

La multiplication des contrôles dans le domaine de la santé

La santé fait partie des domaines ciblés par la Cnil dans son programme 2021 publié en mars dernier (2). La Cnil souhaite en effet poursuivre ses contrôles amorcés en 2020. Outre la vérification de la conformité, ces contrôles permettent de contribuer à élever le niveau de sécurité des données de santé.

Les données de santé sont des données à caractère personnel particulièrement sensibles. A ce titre, elles bénéficient d’un régime de protection spécifique et de mesures de sécurité renforcées. En outre, le responsable du traitement de ce type de données doit notamment notifier à la Cnil les incidents liés aux données traitées (violations de données), voire dans certains cas à l’ARS compétente. Les risques encourus sont importants (phishing et usurpation d’identité notamment).

La Cnil note à cet égard une multiplication par trois des violations liées à des attaques par cryptolockers sur des établissements de santé, recensant 12 violations en 2019 et 36 violations en 2020 (3).

En témoigne, la récente attaque informatique pendant l’été et le vol de fichiers de l’Assistance Publique-Hôpitaux de Paris (AP-HP) concernant 1,4 million de personnes testées contre la COVID-19 mi-2020. L’attaque a porté sur un service sécurisé de partage de fichiers hébergé et utilisé par l’AP-HP, qui lui permet d’assurer le stockage et le partage sécurisé de fichiers, en interne et en externe.

Les premières investigations suggèrent que le vol pourrait être lié à une récente faille de sécurité de l’outil numérique de partage de fichiers acquis par l’AP-HP et hébergé sur ses propres infrastructures techniques (4).

Informée de la fuite de données, la Cnil a fourni plusieurs éléments de réponses suite à cet incident (5). Elle recommande notamment de se rendre sur cybermalveillance.gouv.fr (6) voire de porter plainte.

Isabelle Chivoret
Lexing Santé numérique
Isabelle Pottier
Lexing Département Etudes et publications

________
Notes :

    1. Délibération n° HAB-2021-003 du 23 septembre 2021.
    2. I. Pottier, « La Cnil a publié les thématiques de ses contrôles en 2021 », du 8 mars 2021.
    3. Centre hospitalier, clinique, EPHAD, maison de santé, établissements de soin, laboratoires, etc., Communiqué Cnil du 24 février 2021.
    4. AP-HP, communiqué du 15 septembre 2021.
    5. Communiqué Cnil du 21 septembre 2021.
    6. Violation de données personnelles médicales de l’AP-HP, GIP ACYMA (« Actions Contre la Cybermalveillance »).
Retour en haut