Fuite de données de santé

Début mars 2021, la presse relayait la publication sur internet d’un fichier contenant des données médicales de près de 500 000 patients qui proviendraient de laboratoires d’analyse médicale.

La CNIL a communiqué sur les investigations en cours entourant cette violation de données. Elle a notamment procédé à des opérations de contrôle auprès des organismes concernés et s’est assurée que les personnes impactées par cette violation de données avaient bien été informées par les organismes. L’enquête de la CNIL se poursuit.

En outre, elle a informé avoir saisi le tribunal judiciaire de Paris lequel a adopté une décision demandant aux principaux fournisseurs d’accès à internet de restreindre l’accès à un site hébergeant les données en cause.

Pour l’heure, l’enquête se poursuit en coopération avec le parquet de Paris et l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Quand le registre de traitements est-il obligatoire ?

La mise en place d’un registre de traitements est prévue à l’article 30 du RGPD. Il s’agit d’un document recensant et analysant les traitements de données personnelles réalisés par un responsable de traitement.

L’obligation de tenir un registre de traitements concerne tous les organismes qu’ils soient publics ou privés. Elle incombe au responsable de traitement et au sous-traitant.

Les entreprises ou organisations comptant moins de 250 employés bénéficient d’une dérogation leur permettant de ne pas tenir ce registre. A la condition que l’entreprise ou l’organisation effectue des traitements occasionnels, des traitements qui ne comportent pas de risque pour les droits et libertés des personnes, ni sur des données sensibles.

Si tel n’est pas le cas, alors devront néanmoins être inscrits a minima dans le registre

  • les traitements non occasionnels : gestion de la paie, gestions des clients/prospects et fournisseurs…
  • les traitements susceptibles de comporter un risque pour les droits et libertés des personnes concernées : système de géolocalisation, de vidéosurveillance…
  • les traitements portant sur des données sensibles : données de santé, infractions…

Dans les faits, cette dérogation est donc limitée à des cas très spécifiques de traitements.

En cas de doute sur le bénéfice de cette dérogation, il est recommandé de mettre en place le registre et d’y recenser tous les traitements et non le limiter aux traitements mentionnés ci-dessus.

C’est un outil essentiel de pilotage de la conformité à la Règlementation. Mis à jour régulièrement, il contribue à la démonstration de la conformité.

Qu’est-ce qu’une violation de données ?

Une violation de données est un incident de sécurité, intentionnel ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles.

La violation de données peut se caractériser par la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles ou l’accès non autorisée à de telles données de manière accidentelle ou illicite.

A titre d’exemples, constituent des violations de données :

  • L’envoi d’un mail contenant des données personnelles au mauvais destinataire
  • La perte d’une clé USB non sécurisée contenant un fichier de clients
  • La suppression accidentelle de données clients

Tous les organismes traitant des données personnelles doivent mettre en place des mesures pour sécuriser les données qu’ils traitent et donc prévenir les violations de données ainsi que réagir de manière adéquate en cas de violation.

Si la violation de données présente un risque pour les personnes concernées, le responsable de traitement devra effectuer une notification à la CNIL dans les 72 h et, en cas de risque élevé pour les personnes concernées, celles-ci devront en être informées.

 Article 32 du RGPD – Sécurisation des données

Article 33 du RGPD – Notification à une autorité de contrôle d’une violation de données à caractère personnel

Qu’est-ce qu’un registre de traitements ?

Le registre permet d’identifier précisément :

  • Les différentes parties qui interviennent dans le traitement de données à caractère personnel : responsable de traitement, sous-traitant avec leurs coordonnées
  • Les catégories de personnes concernées : candidat, employé, prospect, client
  • Les catégories de données traitées
  • Les destinataires des données, y compris les sous-traitants
  • La durée de conservation
  • Les mesures de sécurité mises en place, ou encore,
  • Les transferts hors Union européenne.

Présenté sous forme de fiches de registre pour chaque activité de traitement, le registre permet donc de documenter l’ensemble des traitements de données au sein de l’organisme.

La Règlementation n’impose pas de forme précise pour ce registre, la seule obligation étant que le registre se présente sous une forme écrite, papier ou électronique.

Le responsable de traitement doit tenir un registre des activités de traitement effectuées sous sa responsabilité.

Parallèlement, le sous-traitant doit également tenir un registre de toutes les activités de traitement effectués pour le compte du responsable de traitement.

La tenue du registre est obligatoire pour la plupart des organismes. Il existe quelques exceptions à la tenue du registre.

Au sein de l’organisme, la tâche de la tenue du registre peut être confiée à une personne. Cela peut être confié au DPO.  

La CNIL propose un modèle de registre de base permettant de répondre aux exigences principales posées par la Règlementation.

  • Chaque organisme doit s’approprier le registre pour en faire un véritable outil de pilotage de la conformité à la Règlementation.

Article 30 du RGPD – Registre de traitement

Fiche sur les exceptions à la tenue d’un registre

Qu’est-ce qu’une analyse d’impact (« PIA ») ?

Une analyse d’impact est un processus consistant

  • à décrire le traitement de données,
  • à évaluer la nécessité ainsi que la proportionnalité du traitement,
  • à aider à gérer les risques pour les droits et libertés des personnes physiques liés au traitement de leurs données à caractère personnel.

Cette gestion des risques pour les personnes concernées est réalisée en

  • en évaluant les risques,
  • en déterminant les mesures nécessaires pour y faire face. 

Les risques à évaluer sont de trois ordres :

  • la perte de confidentialité des données, c’est-à-dire un accès non autorisé ou accidentel aux données
  • la perte d’intégrité des données, c’est-à-dire la modification non autorisée ou la modification accidentelle des données
  • la perte de disponibilité des données, c’est-à-dire la disparition ou la destruction.

L’évaluation des risques se fait d’après leur vraisemblance et leur gravité

  • la vraisemblance, c’est-à-dire la probabilité que le risque survienne,
  • la gravité des risques pour les personnes concernées.

Des mesures de sécurité sont mises en place pour limiter les impacts sur la vie privée des personnes concernées et que le traitement ne présente pas de risques pour les personnes concernées.

Si le traitement présente un risque résiduel à l’issue de l’analyse d’impact, et que le responsable de traitement souhaite mettre en place le traitement, alors l’autorité compétente, la CNIL, devra être consultée.  

L’analyse d’impact est obligatoire pour certains traitements de données, notamment les traitements à grande échelle de données sensibles. Alors que d’autres traitements n’en requièrent pas.

Même si elle n’est pas obligatoire, l’analyse d’impact permet de s’assurer de la conformité du traitement à la Règlementation.

Article 35 du RGPD – Analyse d’impact relative à la protection des données

Qu’est-ce qu’un « DPO» ?

DPO est l’acronyme pour « Data Protection Officer » ou Délégué à la protection des données en français. Il est chargé de mettre en œuvre la conformité de l’organisme qui l’a désigné à la réglementation sur la protection des données. Le DPO est le « chef d’orchestre » de cette conformité.

Le DPO est l’interlocuteur privilégié pour les différents acteurs : autorité de contrôle, personnes concernées, entités économiques au sein d’un organisme…

Le DPO accompagne et conseille les responsables de traitements de données à caractère personnel dans leur démarche de conformité à la Règlementation.

Le DPO peut être une personne en interne chargée de cette fonction ou une personne externe avec un contrat de service. Le DPO peut être mutualisé entre plusieurs organismes du même groupe ou autorités selon la structure organisationnelle et taille.

Les missions du DPO sont déclinées en plusieurs tâches prévues par la Règlementation.

La désignation d’un DPO est obligatoire dans certains cas. Le DPO sera choisi en tenant compte de ses qualités professionnelles et de sa capacité à accomplir ses missions.

C’est un acteur clé de la règlementation relative aux données personnelles.

Article 37 du RGPD – Désignation du délégué à la protection des données

Article 38 du RGPD – Fonction du délégué à la protection des données

Article 39 du RPGD – Missions du délégué à la protection des données

Fiche sur les cas de désignation d’un DPO

Qu’est-ce qu’un sous-traitant ?

La notion de sous-traitant est définie par la Règlementation. Il s’agit de « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement » dans le cadre d’un service ou d’une prestation.  

Par exemple sont des sous-traitants : les prestataires de services informatiques chargés de l’administration, l’hébergement ou de la maintenance, les entreprises de sécurité informatique, les agences de marketing ou de communication qui traitent des données personnelles pour leurs clients…

Les sous-traitants doivent présenter des garanties suffisantes en termes de connaissances spécialisées, de fiabilité et de ressources pour satisfaire aux obligations de la Règlementation.

Un contrat devra être établi entre le responsable de traitement et le sous-traitant afin de déterminer notamment :

  • L’objet et la durée de la prestation que le sous-traitant effectue pour le compte du responsable de traitement,
  • La nature et la finalité du traitement,
  • Le type de données à traiter et les catégories de personnes concernées
  • Les obligations et droits du responsable de traitement
  • Les obligations et droits du sous-traitant

Le sous-traitant est soumis à des obligations similaires à celles du responsable de traitement : tenir un registre de traitements, désigner un DPO le cas échéant ou réaliser une analyse d’impact.

Article 28 du RGPD – Sous-traitant

Qu’est-ce qu’un responsable de traitement ?

La notion de responsable de traitement est définie par la Règlementation. Il s’agit de « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».  

Cette personne va ainsi devoir fixer les objectifs du traitement et allouer les moyens humains, financiers et techniques nécessaires pour mettre en œuvre le traitement. En d’autres termes, il va décider du « pourquoi » et du « comment » s’agissant du traitement de données à caractère personnel.

Le responsable de traitement est responsable civilement et pénalement en cas de violation de la Règlementation. Dans les organisations, c’est l’entité juridique qui est le responsable de traitement. Ce responsable de traitement est incarné par le représentant légal de cet organisme afin de jouir d’un certain pouvoir au sein de l’organisme pour faire respecter la Règlementation.

Il est possible que les finalités et les moyens d’un traitement de données à caractère personnel soient déterminés par plusieurs organismes. On parlera alors de responsables conjoints de traitement.

Pour autant, le fait que plusieurs acteurs soient impliqués dans un même traitement ne signifie pas qu’ils agissent nécessairement en tant que responsables conjoints. Cette qualification implique un examen au cas par cas pour chaque traitement.

Article 4 du RGPD – Définitions

Article 24 du RGPD – Responsabilité du responsable de traitement

Article 26 du RGPD – Responsables conjoints de traitement

Qui est la personne concernée ?

La personne concernée est une personne physique, c’est-à-dire une personne vivante, peu important sa nationalité ou son lieu de résidence dans la mesure où elle se situe dans l’Union européenne.  

Ne sont donc pas concernées par la protection des données à caractère personnel, les données relatives aux personnes morales.

La personne concernée est une personne identifiée ou identifiable.

  • La personne identifiée est celle dont on connaît l’identité.
  • La personne identifiable est celle qui peut être individualisée, même si ses nom et prénom ne sont pas connus. La corrélation de plusieurs informations permet d’identifier une personne précise.
    Certaines données concernent directement la personne, d’autres seront relatives à des objets détenus par la personne.
    Par exemple, le numéro d’une plaque d’immatriculation, d’un téléphone ou une adresse IP permettent de remonter à une personne unique.

Par conséquent, les données anonymisées ne permettent pas de remonter à une personne physique puisque le lien entre la donnée et la personne a été rompue. Dès lors, la Règlementation relative à la protection des données à caractère personnel ne s’appliquera pas.

Article 4 du RGPD – Définitions

Qu’est-ce qu’une donnée de santé ?

Une donnée de santé est une donnée à caractère personnel relative à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèle des informations sur l’état de santé de cette personne.

Il s’agit d’une notion très large qui doit être appréciée au cas par cas.

Trois catégories de données entrent dans cette définition :

  • Les données de santé par nature : antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap…
  • Les données qui, du fait de leur croisement avec d’autres données, deviennent des données de santé car elles permettent alors de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne : croisement d’une mesure de poids avec d’autres données (nombre de pas, mesure des apports caloriques…), croisement de la tension avec la mesure de l’effort…
  • Les données qui deviennent des données de santé en raison de leur destination, autrement dit de l’utilisation qui en est faite au plan médical.

La Règlementation relative à la protection des données ne s’applique pas aux données de santé utilisées uniquement par la personne elle-même. C’est le cas notamment pour les applications mobiles en santé qui permettent de collecter, d’enregistrement des données localement sur son ordinateur, son téléphone, sa tablette sous réserve qu’aucune connexion extérieure ne soit prévue et que l’utilisation de ces données soit exclusivement personnelle.

En outre, si aucune conséquence ne peut être tirée des données au regard de l’état de santé d’une personne concernée, il ne s’agira pas de données de santé.

Ainsi, un podomètre collectant le nombre de pas au cours d’une promenade ne fournit pas de données de santé tant que cette mesure n’est pas croisée avec d’autres données comme le pouls, le poids…

La donnée de santé est une donnée sensible au sens de la Règlementation et se voit appliquer un régime juridique protecteur.

Article 4 du RGPD – Définitions