Par Nathalie Boudet-Gizardin, Marine Vanhoucke, associées, Patricia Bodalo, collaboratrice et Linah Bonneville, stagiaire
DOSSIER SPECIAL | Sensibilité des données de santé : mesurez l’importance de l’analyse d’impact !
Des données dites « sensibles »
L'ensemble des acteurs du monde de la santé est concerné. Tous les hôpitaux, cliniques, pharmacies, laboratoires d’analyses médicales, sociétés d’assistance et professionnels de santé, doivent veiller à la protection des données personnelles des patients qu’ils prennent en charge.
Les données de santé sont en effet considérées comme des données dites « sensibles », c’est-à-dire à risque élevé, par le Règlement Général sur la Protection des Données (UE 2016/679) plus communément appelé le RGPD.
Elles sont ainsi définies dans son article 4.1 comme:
« Les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne. »
Le traitement des données de santé des personnes est donc particulièrement encadré, notamment dans les domaines de la médecine préventive et de la médecine du travail (lors de l'appréciation de l’aptitude au travail des employés, des diagnostics médicaux, de la prise en charge sanitaire et sociale, ou de la gestion des systèmes, services de soins de santé et de protection sociale). Se pose également la question de leur protection juridique face à la multiplication des projets d’innovation en santé.
La CNIL (Commission Nationale de l’Informatique et des Libertés) précise que sont des données de santé :
- « les informations relatives à une personne physique collectées lors de son inscription en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services : un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé ;
- les informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir des données génétiques et d’échantillons biologiques ;
- les informations concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée (indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro) ;
- certaines données de mesure à partir desquelles il est possible de déduire une information sur l’état de santé de la personne. »
Les données de santé sont d’autant plus sensibles et confidentielles, qu’elles contiennent des informations personnelles identifiables (PII) telles que le nom, la date de naissance, les numéros d'assurance maladie, les diagnostics médicaux des patients …
Données de santé et risque de cyberattaque
Les cyberattaques dans le domaine de la santé sont malheureusement récurrentes en France comme à l’étranger et peuvent prendre diverses formes telles que le vol, la manipulation de données, l’accès non autorisé aux systèmes de santé, voire l’interruption des services de santé.
C’est ainsi qu’en Espagne, le 5 mars dernier, l’un des principaux hôpitaux de Barcelone, l’Hospital Clinic, a vu son système informatique totalement bloqué. Des centaines d’interventions chirurgicales et des milliers de consultations ont ainsi été annulées. RamsonHouse, l’auteur de l’attaque, avait sollicité le versement d’une somme de 4,5 millions de dollars pour libérer l’information cryptée et avait rendu publique sur le dark web une partie des informations volées à l’hôpital. La confidentialité des données ayant été compromise, l’hôpital a dû en informer ses patients, son personnel et ses partenaires, conformément au RGPD.
Le 17 mars dernier, la société Alliance Healthcare, quatrième distributeur de médicaments en Espagne, était, à son tour, victime d’une cyberattaque. Cette dernière a cependant indiqué que les données des patients n’avaient pas été volées.
Nombreuses sont également les cyberattaques récentes survenues dans des hôpitaux français, par exemple au sein des centres hospitaliers de Dax, de Villefranche-sur-Saône, d’Oloron-Sainte-Marie ou encore de La Fondation santé des étudiants de France (FSEF) avec des conséquences plus ou moins médiatisées.
La CNIL s’intéresse donc particulièrement au domaine de la santé et n’hésite pas à sanctionner les manquements pouvant faciliter les cyberattaques.
Ainsi, DEDALUS BIOLOGIE, société commercialisant des solutions logicielles à destination de laboratoires d’analyses médicales a été condamnée par la CNIL le 15 avril 2022[1] à payer une amende de 1,5 millions d'euros en raison d'une faille de sécurité. Il avait en effet été constaté de nombreux manquements techniques et organisationnels en matière de sécurité ayant entraîné une fuite massive de données médicales. Les données n’étant pas chiffrées malgré leur caractère sensible, cela avait rendu possible une diffusion des informations confidentielles de près de 500 000 patients sur internet.
La société DOCTISSIMO vient également d’être sanctionnée, le 11 mai 2023, à une amende de 380.000 € par la CNIL, pour avoir commis quatre manquements au RGPD, plus précisément à l’obligation de conserver les données pour une durée limitée à l’objectif recherché (article 5.1.e du RGPD), à l’obligation de recueillir le consentement des personnes pour collecter leurs données de santé (article 9 du RGPD), à l’obligation d’encadrer par contrat les traitements effectués avec un autre responsable de traitement (article 26 du RGPD), et à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD). A cette occasion, la CNIL a également relevé un manquement aux obligations liées à l’utilisation des cookies (article 82 de la Loi Informatique et Libertés)
L’AIPD : moyen de prévention des cyberattaques
Les risques de cyberattaques liées aux données de santé sont de plus en plus préoccupants à mesure que les systèmes de santé adoptent des technologies numériques pour la gestion des dossiers médicaux.
Dans ce cadre, le RGPD prévoit l’obligation de mener une analyse d'impact sur la protection des données (AIPD) lorsque le traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées (article 35). Elle vise généralement à étudier les risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts potentiels sur la vie privée des personnes concernées, afin de déterminer les mesures appropriées de protection et de réduction des risques.
L’article 35.7 du Règlement précise que l’analyse d’impact doit contenir :
« a) une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement ;
b) une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
c) une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1 ; et
d) les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées. »
L’AIPD constitue donc un outil d’évaluation des risques associés à un traitement de données personnelles, y compris ceux liés à la cybersécurité.
Lorsqu'une organisation effectue une AIPD, elle examine en détail les différentes dimensions du traitement des données, en particulier les mesures de sécurité mises en place pour protéger ces données contre les cyberattaques. Cela nécessite l'évaluation des vulnérabilités potentielles du système informatique, des mesures de protection des données en transit et au repos, des protocoles de gestion des accès et des authentifications, ainsi que des mécanismes de détection et de réponse aux incidents de cybersécurité.
En identifiant les risques potentiels de cyberattaques dans le cadre de l'AIPD, une organisation peut mettre en place des mesures de sécurité appropriées afin d’atténuer ces risques (mise en place de technologies de cryptage, de pare-feu, de solutions de détection des intrusions et de sauvegardes régulières des données …).
L'objectif de l'AIPD est donc de garantir que les données personnelles sont traitées de manière sécurisée et conforme aux exigences de protection des données, y compris la protection contre les cyberattaques. En identifiant les risques associés à la cybersécurité et en mettant en place des mesures adéquates, les organisations peuvent renforcer leur posture de sécurité et minimiser les conséquences potentielles des cyberattaques sur les données personnelles.
La nécessité de l’AIPD
Dans le domaine de la santé, très nombreuses sont les opérations de traitement de données susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques. L’AIPD est donc indispensable dans beaucoup de cas, non seulement pour réduire les cyberattaques mais plus généralement afin de renforcer la protection des données des patients.
Le Conseil Européen de Protection des Données a répertorié 9 situations nécessitant la réalisation d’une AIPD[2]telles que l’analyse de données hautement personnelles ou l’usage de nouvelles technologies. Une société effectuant un traitement de données correspondant à au moins deux de ces situations doit nécessairement effectuer une analyse d’impact.
Par ailleurs, la CNIL a listé 14 opérations de traitement devant également faire l’objet d’une AIPD. [3]
Sont ainsi notamment soumis à la réalisation d’une AIPD :
- les traitements de données de santé mis en œuvre par les établissements de santé ou médico-sociaux pour la prise en charge des personnes ;
- les traitements portant sur les données génétiques de personnes vulnérables (patients…) ;
- les traitements des données de santé nécessaires à la constitution d’un entrepôt de données personnelles ou d’un registre pour servir des finalités de recherche.
En revanche, ne sont pas soumis à AIPD les traitements de données de santé nécessaires à la prise en charge d’un patient par un professionnel de santé exerçant à titre individuel, que ce soit au sein d’un cabinet, d’une officine de pharmacie ou d’un laboratoire de biologie médicale. Cette nomenclature comprend notamment la gestion des rendez-vous, des dossiers médicaux, l’édition des ordonnances, le suivi des patients, l’établissement et télétransmission des feuilles de soins, la communication entre professionnels et la comptabilité[4].
Les organismes de recherche médicale sont également concernés par l’AIPD. Dans ce cadre, la CNIL a contrôlé deux organismes entre janvier et juillet 2022 qui n’avaient pas effectué d’AIPD avant de procéder à leurs recherches. Il a été constaté que l’information fournie aux participants aux recherches était incomplète, ne précisant ni la nature des données collectées ni leur durée de conservation. Par ailleurs, certains documents ne mentionnaient pas les coordonnées du délégué à la protection des données ni la possibilité d’exercer un recours auprès de la CNIL. Enfin, une notice d'information affirmait à tort que les données étaient anonymisées, alors qu'il s'agissait de pseudo-anonymisation.
En réponse à ces manquements et bien que les traitements de données concernés par ces manquements aient cessé, la CNIL a rappelé que les recherches en santé doivent soit faire l’objet d’une autorisation directe par elle-même, soit être conformes à la méthodologie de référence. Dans ces deux hypothèses, les recherches doivent donc faire l’objet d’une AIPD[5].
Ces contrôles démontrent l'attention accrue de la CNIL dans l’application du RGPD, plus précisément dans ses dispositions applicables aux données de santé, et le renforcement des obligations pesant sur les acteurs de la santé, dans ce domaine.. Pour rappel, la CNIL peut sanctionner un manquement au RGPD par une amende pouvant s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial.
Soyez donc vigilants avec les données de santé de vos patients !
[1] Délibération SAN-2022-009 du 15 avril 2022 https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000045614368?init=true&page=1&query=san-2022-009&searchField=ALL&tab_selection=all
[2] Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un risque élevé» aux fins du règlement (UE) 2016/679, https://www.cnil.fr/sites/default/files/atoms/files/wp248_rev.01_fr.pdf
[3] Liste des 14 opération de traitement de la CNIL : https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-requise.pdf
[4]CNIL, Liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise, https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-non-requise.pdf
[5] CNIL, Méthodologies de référence : MR-001, MR-002, MR-003, MR-004, MR-005, MR-006
Nathalie Boudet-Gizardin
Associée
Experte en Droit de la santé et des professions réglementées (conseil et contentieux), elle intervient dans différents domaines : structuration de l’activité des professionnels de santé, conseil sur les aspects réglementaires et déontologiques de leur activité, défense des acteurs de la santé dans des contentieux complexes, corporate santé, contentieux civils et disciplinaires des professions réglementées.
Marine Vanhoucke
Associée
Marine Vanhoucke conseille les entreprises en matière de Propriété Intellectuelle et les accompagne sur leurs sujets de Conformité.
Responsable du bureau de Hong Kong, elle assiste les sociétés françaises dans leur implantation et croissance en Asie et a construit une expertise des questions juridiques de droit international, mêlant notamment des intérêts français et asiatiques.