Les données de santé resteront cette année dans le viseur de la Cnil

Comme chaque année, la Commission nationale de l’informatique et des libertés (Cnil) a fait part des sujets de contrôle sur lesquels elle se concentrera. Pour 2021, trois thématiques “prioritaires” sont annoncées : la cybersécurité des sites web, la sécurité des données de santé et l’utilisation des cookies. Les données de santé, comme les cookies, font donc l’objet deux années de suite de la stratégie de contrôle de la Commission. Cette dernière précise sur son site web, en date du 2 mars 2021, qu’elle “souhaite poursuivre ses contrôles amorcés en 2020” sur la sécurité des données de santé au vu du “contexte sanitaire actuel et compte tenu des enjeux toujours croissants liés à la numérisation du secteur de la santé (gestion des accès au dossier patient informatisé au sein des établissements de santé, plateformes de prise de rendez-vous médicaux en ligne, gestion des violations de données personnelles dans les établissements de soins, etc.)”. Elle ajoute : “au-delà de la vérification de la conformité, les contrôles menés doivent permettre de continuer à élever le niveau de sécurité des données de santé des personnes”.

Dedalus au milieu d’une fuite de données “massive”

En attendant son bilan 2020, prévu pour le mois d’avril, la Cnil a dû ces derniers jours prendre des mesures après la révélation dans la presse d’une fuite de données de santé “massive”, à savoir la publication d’un fichier contenant des données médicales de près de 500 000 personnes. Le site spécialisé en cybersécurité Zataz est le premier à repérer la vente de cette base de données, selon un article du 14 février 2021. Puis le quotidien Libération a mené une enquête, mise en ligne le 23 février. La Commission indique avoir effectué, “à ce stade, trois opérations de contrôle”. Elle a “également pris les mesures nécessaires auprès des organismes concernés afin que les personnes dont les données ont été diffusées soient informées de cette violation par les laboratoires dans les meilleurs délais”. Les données seraient issues, selon Libération, d’une trentaine de laboratoires d’analyse médicale, principalement situés dans le Morbihan, les Côtes-d’Armor, l’Eure, le Loiret et le Loir-et-Cher. Tous ces laboratoires utilisaient un même logiciel de la société Dedalus, qui n’était plus mis à jour. L’éditeur a d’ailleurs confirmé le 26 février, dans un communiqué, avoir ouvert une enquête interne ayant abouti à l’identification de 28 laboratoires dans six départements (l’Ille-et-Vilaine est citée en plus).

72 heures pour notifier à la Cnil une violation de données

À la suite d’une saisine de la présidente de la Cnil, Marie-Laure Denis, le tribunal judiciaire de Paris a adopté une décision le 4 mars “demandant aux principaux fournisseurs d’accès à internet (FAI) de bloquer l’accès à un site internet hébergeant un fichier comprenant des données relatives à près de 500 000 patients, comportant notamment des données de santé”. Les investigations ne sont pas terminées et la Cnil en a profité pour rappeler aux responsables de traitement leurs obligations en matière de violation de données. Alors qu’elle a été informée via la presse, elle redit notamment qu’il “incombe aux organismes concernés (…) de procéder à une notification auprès de la Cnil dans les 72 heures suivant le moment où ils en ont pris connaissance”. Selon ses chiffres, les violations liées à des attaques par cryptolockers sur des établissements de santé (centre hospitalier, clinique, Ehpad, maison de santé, établissements de soin, laboratoires, etc.) ont été multipliées par trois en un an : 12 violations ont été enregistrées en 2019 et 36 en 2020.