Accueil > Financement et politiques publiques > Du HDH au COVID-19, la Cnil sur tous les fronts en 2020 Du HDH au COVID-19, la Cnil sur tous les fronts en 2020 La Commission nationale de l’informatique et des libertés (Cnil) a publié le 18 mai 2021 son rapport d’activité 2020. À la lumière de l’impact de la crise sanitaire, des thèmes de cybersécurité et de souveraineté numérique en santé, ce 41e rapport fait le bilan des temps forts de l’année passée, marquée par nombre de violations de données et de plaintes, trois ans après l’entrée en application du règlement général sur la protection des données (RGPD). Par Camille Boivigny. Publié le 25 mai 2021 à 12h18 - Mis à jour le 25 mai 2021 à 12h43 Ressources Dans le bilan annuel qu’elle a publié le 18 mai 2021, la Cnil indique avoir reçu 2 825 notifications de violation de données personnelles soit 24 % de plus qu’en 2019. Dont une augmentation “notoire” des attaques par rançongiciel des établissements de santé. Elle dénombre par ailleurs 319 incidents de sécurité dans le domaine de la santé humaine et de l’action sociale (soit 11 % du total) représentant une progression de 83 % par rapport à 2019. Concernant les plaintes reçues, 7 % proviennent du secteur de la santé. Chronologie des temps forts La Cnil a rendu son premier avis sur l’application StopCovid dès avril, puis sur les fichiers SI-DEP (système d’information national permettant la centralisation des résultats des tests au SARS-CoV-2) et Contact Covid lors du déconfinement en mai, pour en lancer un programme de contrôle dès le 4 juin. Le 18 du même mois elle renforce son accompagnement sectoriel en adoptant un référentiel relatif aux traitements de données personnelles pour la pour la gestion des cabinets médicaux et paramédicaux. Elle prononce en juillet une mise en demeure à l’encontre du ministère de la santé sur StopCovid qui sera clôturée début septembre. En 2021, elle poursuit sa stratégie d’accompagnement en lançant en février une première session de “bac à sable données personnelles”, un appel à projets en santé permettant à douze lauréats de bénéficier de ses conseils afin “d’aboutir à une solution respectueuse de la vie privée des personnes”. Le point sur le Health Data Hub La Cnil consacre un chapitre entier au partage des données de santé sur le HDH et au risque lié à leur transfert aux États-Unis. Elle y précise que les études impliquant un traitement de données du système national des données de santé (SNDS) sont hébergées à 75% sur le portail de la Cnam, à 18,7% via la solution technique du HDH et à 6,3% via un système fils du responsable de traitement ou du laboratoire de recherche / bureau d’études. En mars 2020, elle avait annoncé que l’hébergement des données de santé dans un cloud souverain constituait l’une de ses priorités. En octobre, elle a accueilli “favorablement” les déclarations du secrétaire d’État au numérique qui indiquait au Sénat la volonté du Gouvernement d’héberger le HDH dans des infrastructures françaises ou européennes. Mais le même mois, le Conseil d’État demande au Health Data Hub des garanties supplémentaires pour limiter le risque de transfert vers les États-Unis, à la suite de l’invalidation du Privacy Shield qui encadrait le transfert de données entre l’Europe et les États-Unis. Ce dernier sera annulé par l’arrêt Schrems II rendu par la Cour de justice de l’Union européenne. La Cnil a par ailleurs lancé quatre nouveaux projets pilotes sur le flux de données au niveau international. Un “focus COVID” La Cnil évoque de nombreuses fois le COVID-19, se targuant d’en avoir priorisé le traitement des plaintes ainsi que le contrôle des dispositifs mis en œuvre. Sur les 423 autorisations de recherche en santé, 89 portent sur le coronavirus. Sachant que la ligne directrice issue du RGPD portant sur le traitement de ces données a définitivement été adoptée en 2020. La Commission a rendu pas moins de 10 avis au gouvernement et sa présidente a participé à 8 auditions parlementaires. Elle précise par ailleurs avoir conseillé “activement les pouvoirs publics afin de contribuer à garantir que la mise en œuvre des systèmes d’information sanitaires (StopCovid-TousAntiCovid, SI-DEP, Contact Covid, Vaccin Covid) soit respectueuse des droits des personnes concernées”. Elle a également accompagné l’élaboration de l’”entrepôt COVID” qui a été créé par la Cnam. Camille Boivigny Application mobilebase de donnéesCNILCommission EuropéenneCOVID-19CybersécuritéDonnées de santéDonnées privéesHealth data hubLogicielPlateformesRèglementaireStratégie Besoin d’informations complémentaires ? Contactez le service d’études à la demande de mind À lire La Cnil publie des recommandations provisoires pour les essais cliniques durant la crise TousAntiCovid évolue Droit Devant Retours de la Cnil sur l’application du RGPD dans les essais cliniques dans le contexte de pandémie Droit Devant Construire un EDS, du régime juridique à l’appariement La Cnil ouvre à commentaires un projet de référentiel pour la création d'EDS Droit Devant Les données de santé resteront cette année dans le viseur de la Cnil Pourquoi OVH n’a pas été choisi pour héberger le Health Data Hub Un projet d'avis très critique de la CNIL sur le Health Data Hub Hébergement des données de santé : que révèle l’analyse des entreprises certifiées ?
