Protection des données de santé à caractère personnel : ce qu’il faut retenir des dernières décisions !
La sécurité des systèmes d’information est au cœur des dernières décisions relatives à la protection des données personnelles. Cela se vérifie tant en France que dans le reste de l’Union européenne, tous les Etats-Membres appliquant de concert le RGPD. Les décisions des différentes autorités sont très révélatrices des critères et du niveau d’exigence en matière de sécurité.
1. De nombreuses décisions sanctionnant des failles de sécurité
Ainsi, la plupart des sanctions qui ont été prises par les autorités de protection européennes depuis l’entrée en vigueur du RGPD concernent des violations de données personnelles, issues de manquements à l’obligation de sécurité (article 32 du RGPD et article 17 de l’ancienne directive 95/46/CE du 24 octobre 1995). Des amendes allant de plusieurs dizaines à plusieurs centaines de milliers d’euros ont notamment été imposées par :
- l’autorité de protection lituanienne, à un prestataire international de services de paiement, en raison de la publication accidentelle d’informations sur les paiements (Communiqué du 5 mai 2019) ;
- l’autorité hongroise, à un parti politique en raison du piratage de sa base de données (Décision du 21 mars 2019) :
- l’une des autorités de protection allemande à un réseau social, là encore suite à un piratage (Communiqué du 22 novembre 2018) ;
- l’autorité de protection française, la CNIL, à un opérateur télécom, ainsi qu’à une société de gestion immobilière, en raison d’un défaut dans les mesures d’authentification (Délib. n°SAN-2018-012 du 26 décembre 2018 ; Délib. n°SAN-2019-005 du 28 mai 2019), à une société de transport de personnes suite à un piratage occasionné par l’absence de mesures de sécurité élémentaires (Délib. n°SAN-2018-011 du 19 décembre 2018) et à une association suite à une fuite de données (Délib. n°SAN-2018-010 du 6 septembre 2018).
2. Un niveau d’exigence élevé dans le secteur de la santé
Dans le secteur de la santé, les autorités sont particulièrement exigeantes.
A titre d’illustration, un membre du personnel administratif d’un centre de santé en Grande-Bretagne a reçu une amende pour avoir envoyé vers sa messagerie privée des données à caractère personnel concernant des candidats à un recrutement. Ces données incluaient notamment des coordonnées personnelles ainsi que le numéro britannique d’assurance sociale des candidats. L’autorité britannique de protection des données personnelles (« ICO ») a notamment souligné l’expérience significative du membre du personnel sanctionné, qui aurait dû garantir sa connaissance des bonnes pratiques en termes de protection des données personnelles. Il est également relevé que les employés des établissements de santé ont accès à de nombreuses données sensibles, ce qui les place dans des postes de confiance, et accroit le niveau de protection des données auquel les personnes concernées peuvent s’attendre (ICO, communiqué du 5 avril 2019).
Contrôle des habilitations et des accès. Les accès aux données de santé sont tout spécialement contrôlés, non seulement du point de vue technique et organisationnel, mais également du point de vue juridique.
Les mesures de sécurité organisationnelles et techniques sont essentielles, comme l’a illustré la retentissante – d’ailleurs la première en Europe – sanction financière d’un montant de 400 000 euros imposée à un hôpital par l’autorité de protection des données personnelles portugaise (« CNPD ») en raison des carences majeures dans la gestion des habilitations d’accès (aucune politique régissant les régimes d’habilitation et les droits d’accès, existence de comptes permettant l’accès par un médecin à tout dossier médical quelles que soient sa spécialité ou sa participation à la prise en charge du patient, nombre de comptes d’utilisateurs actifs associés au profil de « médecin » supérieur du triple au nombre effectif de médecins dans l’hôpital…). L’absence de documentation tout autant que les carences des mesures de sécurité mises en place en pratique, paraissent être des facteurs déterminants de cette sanction (CNPD, 17 juillet 2018, non publiée).
Finalité des habilitations et des accès. D’un point de vue plus juridique, tout accès doit pouvoir être justifié au regard de la finalité pour laquelle cet accès est accordé et des missions de la personne habilitée à accéder aux données.
Ainsi, un employé d’une organisation en charge du système national de santé s’est vu imposer une amende pour avoir accédé sans justification à des dossiers médicaux. Si ses fonctions lui permettaient l’accès à certains dossiers médicaux, il a été établi que cet employé avait accédé à d’autres dossiers médicaux, notamment concernant des personnes de sa connaissance, y compris des mineurs, sans que cela ne puisse être spécifiquement justifié au regard de ses missions (ICO, communiqué du 18 mars 2019). De même, un assistant administratif au sein d’un cabinet médical a été financièrement sanctionné pour avoir accédé sans motif professionnel à de nombreux dossiers médicaux électroniques (ICO, communiqué du 28 novembre 2018).
Ces sanctions peuvent être mise en parallèle avec la récente décision française concernant un accès non justifié à des données particulièrement sensibles : le Conseil d’Etat a sanctionné un capitaine de gendarmerie pour consultation à des fins personnelles de fichiers de gendarmerie et de fiches individuelles de renseignements, afin de rechercher des informations concernant l’employeur de sa fille ainsi que d’autres personnes. Cet usage constituant un détournement de finalité du traitement de données à caractère personnel, le Conseil d’Etat a considéré qu’une sanction disciplinaire n’était pas disproportionnée, indépendamment des suites judiciaires éventuellement engagées (Conseil d’Etat, 7ème ch., 24 avril 2019, n°421838)
Eléments déterminant l’importance des sanctions. Le montant des sanctions doit néanmoins prendre en compte le comportement du responsable de traitement suite au constat des manquements à la réglementation, comme l’a rappelé récemment le Conseil d’Etat. Ce dernier a en effet réduit la sanction imposée à une société de produits d’optiques (250 000 euros réduits à 200 000 euros), compte tenu de la célérité avec laquelle cette société a apporté les mesures correctrices de nature à remédier aux manquements constatés (Conseil d’Etat, 17 avril 2019, n°422575). De façon similaire, un délai important pour corriger une vulnérabilité constitue un motif pour justifier d’une sanction, surtout lorsque des mesures pour mettre fin à la faille de sécurité ou simplement pour la limiter étaient faciles à mettre en œuvre (Conseil d’Etat, 17 avril 2019, n°423559).
Il faut souligner que dans une récente décision de sanction d’un montant de 400 000 euros, suite à une faille de sécurité, la CNIL a pris soin de justifier de façon particulièrement précise le montant de la sanction (CNIL, délib. n°SAN-2019-005 du 28 mai 2019). La CNIL relève en effet que la vulnérabilité était liée à un défaut basique de conception, à savoir l’absence de procédure d’authentification qui constitue une mesure élémentaire de sécurité. De plus, la société sanctionnée a manqué de diligence dans la correction de la vulnérabilité. Enfin, les données personnelles traitées par la société s’apparentaient à des données sensibles, aussi la société aurait dû apporter une attention toute particulière à la préservation de leur confidentialité et à leurs modalités de conservation. La présence de données hautement personnelles ou sensibles deviendrait une sorte de circonstance aggravante.
Autant de décisions qui invitent les organismes traitant des données de santé à être attentifs à toutes les dimensions de la conformité au RGPD, tout particulièrement l’organisation de la sécurité, tant dans ses aspects techniques, qu’organisationnels et juridiques.