Article publié dans les Carnets de Vauban du Journal de l’Économie.
Pleinement impliqués dans la lutte contre la pandémie mondiale de COVID-19, les établissements de santé français sont plus que jamais la cible des cyberattaques au « rançongiciel » qui affectent directement les données de santé des patients et peuvent entraîner le report de certaines interventions. Profitant des vulnérabilités des systèmes d’information (SI) de ces établissements mises en exergues par l’ANSSI dans un rapport du 22 février dernier sur « l’état de la menace cyber sur les établissements de santé », ces attaques ont conduit le président de la République, Emmanuel Macron, à annoncer un plan de riposte d’un milliard d’euros pour renforcer la cybersécurité des systèmes sensibles.
De fait, les attaques sur des établissements de santé (centre hospitalier, clinique, EPHAD, maison de santé, établissements de soin, laboratoires, etc.) ont été multipliées par trois en 2020 et semblent s’accélérer depuis le début de l’année 2021.
C’est dans ce contexte préoccupant en matière de cybersécurité et de protection des données de santé que la CNIL a publié le 2 mars dernier ses thématiques prioritaires de contrôle pour l’année 2021 : les données de santé, la cybersécurité et les cookies.
Les données de santé
Compte tenu du contexte sanitaire et de leur sensibilité particulière, la CNIL a choisi de conserver les données de santé dans sa liste des thématiques de contrôle jugées prioritaires pour l’année 2021. Bénéficiant d’une protection renforcée dans le Règlement européen sur la protection des données personnelles (RGPD), ces données figuraient déjà dans la liste des thématiques de contrôle jugées prioritaires en 2020.
Au-delà de la crise sanitaire, la CNIL est préoccupée par la numérisation de plus en plus massive des données de santé (notamment des dossiers des patients) et souhaite accélérer ses contrôles pour vérifier la conformité des acteurs du secteur à la règlementation française et européenne en vigueur et les pousser à élever le niveau de sécurité des données de santé des personnes.
L’essor de la vaccination pose également la question de la conformité et de la fiabilité des plateformes destinées aux prises de rendez-vous. Doctolib, plateforme choisie par l’État français, est accusé de sauvegarder les données sur un serveur d’Amazon (certifié HDS) aux États-Unis, jugé insuffisamment protecteur des données de santé. En effet, un référé liberté a été déposé devant le juge administratif par plusieurs associations et syndicats de médecins pour demander l’annulation du contrat qui lie Doctolib et l’État. Ils s’appuient notamment sur l’invalidation par le juge européen en juillet 2020 d’un des mécanismes permettant le transfert de données personnelles vers les États-Unis, le « Privacy shield ».
Cette affaire n’est d’ailleurs pas sans rappeler la polémique soulevée par la Plateforme des données de santé (PDS), également appelée « Health Data Hub » (HDH), créée afin de faciliter le partage des données de santé issues de sources variées afin de favoriser la recherche qui a contraint le gouvernement français à annoncer la fin de l’hébergement par Microsoft du Health Data Hub d’ici… deux ans. La CNIL a récemment rappelé son souhait que son hébergement et les services liés à sa gestion soient gérés par des entités relevant exclusivement des juridictions de l’Union européenne.
La CNIL est également à l’origine d’une récente décision du Tribunal Judiciaire de Paris demandant aux principaux fournisseurs d’accès à internet (FAI) de bloquer l’accès à un site internet hébergeant un fichier comprenant des données relatives à près de 500 000 patients et notamment des données de santé. L’intervention de la CNIL fait suite à trois opérations de contrôle menées en réaction à la publication d’une enquête réalisée par le journal Libération révélant fin février 2021 que ces données s’échangent gratuitement dans des communautés en ligne de cybercriminels. La CNIL poursuit actuellement ses investigations afin de constater si les mesures techniques adéquates ont été prises et ce, afin de maximiser la sécurisation des données.
L’action de la CNIL ne se limite d’ailleurs pas aux entreprises et administrations publiques. Deux médecins ont ainsi été sanctionnés à hauteur de 3 000 et 6 000 euros d’amende pour avoir insuffisamment protégé les données de santé de leurs patients (défaut de chiffrement) et ne pas avoir notifié une violation de données à la CNIL.
La cybersécurité
Outre la thématique des données de santé, la CNIL a choisi d’accentuer ses contrôles sur le respect des mesures de cybersécurité en général.
Lire la suite de notre article dur le Journal de l’Économie.