La Commission nationale de l’informatique et des libertés (CNIL) vient de publier son rapport d’activité pour l’année 2021. Le secteur de la santé y occupe une place importante.
L’année dernière, le secteur de la santé et du social a représenté « 15 % des requêtes traitées et 8 % des plaintes ». Celles-ci, au nombre de 14 143, sont en augmentation de 4% par rapport à l’année précédente.
L’impact de la crise du Covid-19
« La pandémie a généré des réclamations portant sur les données stockées ou non dans le passe sanitaire, les tests Covid proposés dans les écoles ou la volonté de certains employeurs de vérifier l’état de santé de leurs salariés qui continuaient à aller au travail. » Ce qui a conduit le gendarme des données à rappeler à chacun ses « obligations » (cf. « Quand on doit présenter dix fois par jour un document de santé, pour acheter une baguette ou faire du sport, on n’a pas retrouvé la liberté »).
Des données toujours plus menacées
La CNIL souligne l’explosion des signalements de violations de données, suite à la « très forte croissance des attaques informatiques, notamment par rançongiciels ». Ces signalements, en hausse de 79% par rapport à l’année précédente, concernent « particulièrement » le secteur de la santé.
Comme à l’occasion du vol des données de plus d’un million de Français (cf. Vol de données à l’AP-HP : le hacker voulait « montrer que c’est facile »), l’organisme a diligenté « “30 nouvelles missions de contrôles” sur la sécurité des données de santé (laboratoires d’analyses médicales, hôpitaux, prestataires, data brokers en données de santé, professionnels de santé) ». Des procédures « toujours en cours d’instruction » pour certaines.
Des sanctions pour le secteur privées
Ces contrôles conduisent parfois à des sanctions. L’éditeur Dedalus biologie avait ainsi écopé d’une amende de 1,5 million d’euros pour des « défauts de sécurité » qui avaient conduit à la fuite des données médicales de 500 000 patients français (cf. Les données de santé de près de 500 000 patients français diffusées sur internet). En 2021, « 135 mises en demeure et 18 sanctions » ont abouti à un « montant cumulé d’amendes jamais atteint qui dépasse les 214 millions d’euros ».
Et pour les pouvoirs publics ?
Il incombe également à la CNIL d’accompagner les pouvoirs publics. « Pour éclairer leurs décisions, elle a ainsi répondu à 22 auditions parlementaires et rendu 121 avis sur des projets de lois et de décrets. 16 de ces avis concernaient des traitements de données mis en œuvre dans le cadre de la lutte contre l’épidémie de COVID-19. » (cf. Passe vaccinal : le Cnil demande une évaluation scientifique).
Des enjeux de souveraineté
La CNIL affirme s’être impliquée « dans le renforcement de la souveraineté numérique de l’UE ». Notamment dans un contexte où « l’arrêt ‘Schrems II’ de la Cour de justice de l’Union européenne, qui a invalidé le cadre permettant le transfert de données de l’Union européenne vers les États-Unis, a eu d’importantes répercussions sur la régulation des données ». Y compris les données de santé (cf. Un cadre pour un espace européen des données de santé).
Sources : CNIL, CP (11/05/2022) ; Le quotidien du médecin, Loan Tranthimy (11/05/2022)
