Intelligence artificielle : Nouvelle consultation publique de la CNIL afin de construire l’articulation entre RGPD et règlement IA – Juin 2024
CNIL – Élections européennes 2024 : le plan d’action de la CNIL pour protéger les données des électeurs – Juin 2024
CNIL – Neuf nouvelles sanctions prononcées dans le cadre de la procédure simplifiée – Juin 2024
Délibération n°SAN-2024-007 du 25 avril 2024 relative à l’injonction prononcée à l’encontre de la société TAGADAMEDIA par la délibération n° SAN-2023-025 du 29 décembre 2023
Formation – Protection des données de santé – EDS – Recherche – 12 septembre 2024
Formation – Protection des données personnelles en santé – recherche – 11 juin 2024, et 17 octobre 2024
Formation – Cycle DPO en santé – 14, 15, 21, 28, et 29 novembre 2024
Violation de données
LES VIOLATIONS DE DONNEES – BILAN ET RECOMMANDATIONS
Définies comme « une violation de la sécurité, entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données », les violations de données sont encadrées par le RGPD.
A ce titre, dès lors qu’elles sont susceptibles d’entrainer un risque pour les personnes concernées, elles doivent être notifiées à la CNIL, si possible, dans un délai de 72 heures à compter de leur connaissance par l’organisme. Une communication aux personnes concernées est également obligatoire si la violation entraine un risque élevé pour les personnes concernées.
- Sur ce point, le Comité européen de la protection des données (CEPD) renvoie à ses lignes directrices sur l’analyse d’impact pour qualifier le risque important. Pour rappel, l’évaluation du risque important est à l’égard des personnes concernées et non pour le responsable de traitement.
La CNIL dresse un bilan des notifications de violations de données intervenues depuis l’entrée en application du RGPD, il y a cinq ans. Elle y constate un nombre croissant de notifications, mais ne sait pas distinguer ce qui est dû à la prise en compte grandissante de la règlementation et de l’obligation de notifier de tels incidents de sécurité, de ce qui proviendrait de menaces grandissantes sur les données personnelles.
La CNIL fait le constat que plus de la moitié des violations de données proviennent d’actes malveillants, de piratage informatique, principalement par rançongiciels ou hameçonnage.
- Aussi, il semble recommandé que les responsables de traitement s’assurent que leurs collaborateurs soient formés à la sécurité, et aux principes élémentaires de protection des données personnelles, leur permettant d’adopter les bons réflexes en cas d’incident.
- Ce bilan fait écho à l’actualisation par la CNIL de son guide de sécurité sur les données personnelles, publié le 26 mars 2024. Cette actualisation a été enrichie notamment d’une nouvelle fiche sur le pilotage de la sécurité des données. La CNIL a également décidé de scinder son ancienne fiche 4 sur « Tracer les opérations et gérer les incidents » en deux fiches distinctes relatives à la traçabilité des opérations, et une autre concernant la gestion des incidents et les violations.
La CNIL revient également sur les délais liés aux violations de données. Si le délai posé par la règlementation est de 72 heures après la connaissance par l’organisme de cette dernière, en pratique la CNIL constate que pour 75% des violations, les notifications interviennent dans les 11 jours de la qualification de l’incident.
- La bonne pratique à adopter, comme le rappelle la CNIL dans ce bilan, est d’établir une première notification même partielle dans le délai imparti, qui sera complétée par la suite.
- Article 32 et 33 du Règlement Général sur la Protection des Données
- Lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement (UE) 2016/679, CEPD
- Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679, CEPD
- Violations de données personnelles : bilan de 5 années de RGPD, CNIL
- Guide de sécurité des données personnelles – Version 2024
Version du 22 mai 2024
Mise à jour du référentiel HDS – Ce qui change – Mai 2024
Le référentiel de certification pour l’hébergement de données de santé à caractère personnel (HDS) défini par arrêté du 11 juin 2018 prévoit les exigences de sécurité notamment applicables aux prestations d’hébergement de données. Est paru au journal officiel du 16 mai 2024 la nouvelle version du référentiel, par arrêté du 26 avril 2024.
Pour rappel, cette certification est obligatoire pour « toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, réalise cet hébergement dans les conditions prévues au présent article. » (Article L.1111-8 du Code de la santé publique)
Cette nouvelle version du référentiel précise notamment les activités d’hébergement, propose une matrice de correspondance SecNumCloud, clarifie les rôles des acteurs dans l’hébergement… et surtout : l’exigence d’héberger les données au sein de l’Espace Economique Européen (EEE). Cette exigence de territorialité n’existait pas précédemment ; jusqu’à présent, seul le référentiel SNDS imposait cette exigence (exigence 3.2 du référentiel SNDS). Désormais, le référentiel HDS prévoit que seuls des accès à distance pourront être réalisés depuis des pays en dehors de l’EEE, à condition de prévoir les garanties appropriées (décision d’adéquation, ou à défaut clauses contractuelles types, BCR, arrangement administratif, etc).
Par ailleurs, outre la souveraineté des données, cette nouvelle version renforce les exigences de transparence de l’hébergeur sur ce sujet. En effet, désormais l’hébergeur a la charge de lister à son client, tant les législations extra-européennes qui pourraient exiger un accès non autorisé par le droit de l’Union aux données hébergées, que les mesures mises en œuvre pour pallier ce risque, et les risques résiduels. En sus, une information publique sur ce sujet devra figurer sur le site internet de l’hébergeur, et sera reprise par l’ANSSI dans la liste des hébergeurs certifiés.
Cette nouvelle version renforce également les exigences contractuelles à la charge de l’hébergeur, notamment des exigences relatives à la protection des données. Il est ainsi conseillé de se référer aux clauses contractuelles types de la commission européenne s’agissant de la sous-traitance, et aux recommandations du Comité européen de la protection des données concernant les mesures de sécurité.
- Arrêté du 6 mai 2024 relatif au référentiel de sécurité applicable au Système national des données de santé
- Décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil (Texte présentant de l’intérêt pour l’EEE)
- Recommandations 01/2020 du Comité européen de la protection des données sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE