Billet d’humeur – Fuite massive de données de santé: un risque juridique pour les hôpitaux ?
Laurette Vilard, juriste, apprentie du centre de droit JuriSanté du CNEH
Le 15 avril 2022, la formation restreinte de la Commission Nationale de l’Informatique et des Libertés (CNIL) a sanctionné la société Dedalus Biologie d’une amende 1.5 millions d’euros pour défaut de sécurité ayant conduit à la fuite de données médicales d’un demi-million de personnes.
La CNIL a pointé plusieurs manquements graves lors de sa délibération, provenant du sous-traitant de la société Dedalus Biologie[1] :
- Un manquement à l’obligation de respecter les instructions du responsable de traitement (article 29 du RGPD) ;
- Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD) ;
- Un manquement à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués pour le compte du responsable de traitement.
La fuite massive des données personnelles de santé de la société Dedalus Biologie n’est pas un cas isolé.
Le 27 août 2021, la CNIL avait reçu un signalement anonyme dénonçant une violation de sécurité de la société Francetest[2]. La Commission avait mené une enquête qui avait révélé une vulnérabilité en matière de sécurité de données de santé par le site. Une mise en demeure avait donc, été prononcée à l’encontre de cette société privée afin de renforcer la protection des données de santé qu’elle collecte pour le compte des pharmacies lors des dépistages de la Covid-19.
De plus, en mars 2021, par le biais d’une saisine de la Présidente de la CNIL, le tribunal judiciaire de Paris avait ordonné aux fournisseurs d’accès à internet (FAI) de bloquer l’accès à un site hébergeant des données de santé de près de 500 000 personnes.
La CNIL avait été informée également, mi-2020, de la fuite de données de l’Assistance Publique-Hôpitaux de Paris (AP-HP) concernant 1,4 million de personnes testées contre la Covid-19.
Le 7 décembre 2020, la formation restreinte de la CNIL avait prononcé deux amendes de 3 000 €[3] et 6 000 €[4] à l’encontre de deux médecins libéraux pour avoir insuffisamment protégé les données personnelles de leurs patients et ne pas avoir notifié une violation de données à la CNIL.
La CNIL partage sur son site internet des chiffres montrant l’accroissement fulgurant des violations de données de santé dans les établissements de santé et médico-sociaux en France sur la période 2019 et 2020 :
Une vigilance accrue pour les responsables de traitement
Toutes les données personnelles font l’objet de mesures de sécurité réglementées en vertu de l’article 32 du Règlement général sur la protection des données (RGPD). Les données sensibles dites particulières selon l’article 9 du règlement précité, invitent à une vigilance accrue de la part des responsables de traitement, puisque ces données génèrent un risque d’atteinte à l’intimité des personnes. Ces données sensibles sont, notamment, les données de santé.
Des mesures organisationnelles et techniques adéquates à ce type de données sensibles doivent être prises en amont, par le responsable de traitement qui doit régulièrement auditer et, si nécessaire, renforcer les mesures de sécurité pour tenir compte de l’évolution des risques et menaces.
Cependant, après une violation de données avérée, l’article 33 du RGPD requiert que le responsable de traitement notifie dans les plus brefs délais cette violation à l’autorité de contrôle, mais également aux personnes concernées en cas de risque pour leurs droits et libertés. Ce risque étant caractérisé en présence de données de santé.
Les sanctions encourues en cas de violation avérée des données
Une procédure de sanction peut être engagée à l’encontre d’un organisme si un manquement au RGPD ou à la loi Informatique et Libertés est constaté. Dès lors, la procédure commence suite au dépôt d’une plainte ou d’un signalement auprès de la CNIL ou cela peut être constaté directement par la CNIL lors d’une mission de contrôle.
Dans ce cas, le président de la CNIL désigne un rapporteur parmi les membres du collège n’étant pas membres de la formation restreinte et saisit la formation restreinte. Le responsable de traitement ou le sous-traitant mis en cause en est informé. La formation restreinte est destinataire de tous les documents lors de la procédure écrite entre le rapporteur et l’organisme mis en cause. Durant la procédure, l’organisme visé peut être entendu si le rapporteur l’estime utile. Dans ce cas, l’audition est suivie de la rédaction d’un procès-verbal.
Lorsque des manquements au RGPD ou à la loi sont constatés, la formation restreinte de la CNIL peut prononcer, après une procédure contradictoire, l’une ou plusieurs des mesures suivantes :
- Un rappel à l’ordre ;
- Une injonction de se mettre en conformité, pouvant être assortie d’une astreinte dont le montant ne peut excéder 100 000 euros par jour de retard ;
- Une limitation temporaire ou définitive du traitement, son interdiction ou le retrait d’une autorisation ;
- Le retrait d’une certification ;
- La suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ;
- Une amende administrative ne pouvant excéder 10 millions d’euros ou 2% du chiffre d’affaire annuel mondial de la société. Pour les manquements les plus graves, ce montant peut s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.
Les autres condamnations relatives au RGPD dans d’autres pays de l’Union Européenne
D’autres pays européens ont condamné des établissements pour violation des données en santé : Au Portugal, en 2018, la Comissão Nacional de Proteção de Dados (CNPD) a condamné l’hôpital de Barreiro à une amende de 400 000 euros pour avoir donné un accès illimité aux données des patients à travers de faux profils de médecins. Aux Pays-Bas, en 2019, l’Autorité néerlandaise de protection des données (Autoriteit Persoonsgegegevens) a infligé une amende d’un montant de 460 000 € à l’hôpital de Haga, pour avoir insuffisamment sécurisé les accès aux dossiers des patients en interne.
Au niveau européen a été institué, le Comité européen de la protection des données (CEPD), par le règlement européen sur la protection des données (RGPD). Il a pour mission principale de veiller à l’application du RGPD dans tous les pays membres de l’UE. En février 2022, face à l’augmentation des violations des données et afin d’aider les responsables de traitement à répondre à leurs obligations et à adopter les réactions adaptées selon les situations, le CEPD a publié des lignes directrices comprenant 18 cas pratiques[5].
[1] Délibération de la formation restreinte n° SAN-2022-009 du 15 avril 2022 concernant la société DEDALUS BIOLOGIE
[2] Décision n°MED-2021-093 du 4 octobre 2021 mettant en demeure la société FRANCETEST
[3] Délibération de la formation restreinte no SAN-2020-014 du 7 décembre 2020 concernant Monsieur […]
[4] Délibération de la formation restreinte no SAN-2020-015 du 7 décembre 2020 concernant Monsieur […]
[5] Guidelines 01/2021, on Examples regarding Personal Data Breach, notification, adopted on 14 December 2021, version 2.0