Face à l’importance de la protection des données personnelles, des entités comme la CNIL vérifie si les traitements portant sur les données personnelles sont à la législation sur la protection des données (RGPD, loi Informatique et Libertés).
Très récemment, en avril 2022, ladite a ainsi sanctionné la société DEDALUS BIOLOGIE pour des défauts de sécurité provoquant une fuite de données médicales.
Par l’optique de praticité, la numérisation des informations médicales facilite notamment la gestion et l’organisation des établissements de santé. Par le prisme du droit, la digitalisation de ces données est sujette à de nouveaux dangers intrinsèquement liés à la protection de ces dernières face aux cyberattaques. Le Cabinet Avomedias, expert en droit de la protection des données de santé, vous assiste et vous confère un suivi optimal et personnalisé selon votre situation.
Qu’est-ce qu’une donnée de santé ?
Le traitement des données de santé est désormais devenu indissociable de la mise sur le marché des produits pour les industriels du secteur mais aussi en ce qui concerne les recherches cliniques.
Les données à caractère personnel concernant la santé sont définies comme étant :
« Les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne ».
Cette définition comprend donc trois (3) catégories de données :
- Les données de santé par nature (antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap…)
- Le croisement de certaines données permettant de tirer des conclusions sur l’état de santé (le poids avec la mesure des apports caloriques)
- Les données de santé du fait de leur destination, soit leur usage sur le plan médical.
A contrario, ne sont donc pas des données de santé les données desquelles aucune conséquence ne peut être tirée sur la bonne santé d’un individu.
En guise d’exemple, les applications qui permettent la collecte du nombre de pas pendant une promenade sans aucun croisement avec une autre donnée.
Le RGPD et les données de santé : comment sont protégées mes données ?
Lors d’un rendez-vous médical, la fourniture d’un certain nombre de données est réalisée. Si la qualification de donnée de santé est retenue alors un régime juridique spécifique s’applique.
Ainsi, le RGPD fixe les obligations que doivent respecter les organismes privés et publics, concernant leurs traitements des données de santé. Les professionnels sont notamment tenus à :
- Limiter les informations collectées (strict nécessaire),
- Tenir à jour les données traitées,
- Mettre en place un système de sécurité approprié ;
- Informer les patients de leurs droits (accès au dossier, rectification en cas d’erreurs) par voie d’affichage ou par une brochure.
- Respecter la durée de conservation des données.
En outre il convient de préciser que le professionnel médical ne peut recueillir des informations sans lien avec l’objet de la consultation ou qui ne sont pas indispensable au diagnostic ou à la délivrance des soins.
Les fuites de données de santé : quelles sont les conséquences ?
Des risques pour les patients et pour les établissements de santé
De plus en plus, les établissements de santé sont sujets à des cyberattaques provoquant des fuites de données.
Il s’agit globalement d’incidents durant lesquels des malveillances accèdent à des données sensibles et confidentielles et ce, sans autorisation naturellement.
Suite à ces évènements, des enquêtes peuvent être menées et révélées ainsi des insuffisances de la part des établissements. En cela, la CNIL ne peut être compétente pour prononcer l’indemnisation des préjudices des clients. Toutefois, elle octroie des amendes RGPD en cas de non-respect des réglementations RGPD, tel que l'absence de mise en conformité de Site Internet.
Sanction de la CNIL en cas de fuite de données
Dans le cas susvisé, suite à une fuite de données de santé massives, la CNIL a contrôlé la société DEDALUS BIOLOGIE en 2021 commercialisant des solutions logicielles pour des laboratoires d’analyse médicale.
La CNIL rappelle en outre que la société éditrice de logiciel intervient en qualité de sous-traitant des laboratoires de biologie médicale et que le RGPD lui impose en cela des obligations.
Ladite entité constate en cela plusieurs manquements au RGPD :
- Des agissements sans instruction de la part du responsable du traitement ;
Le RGPD dispose à ce titre que :
« Le sous-traitant et toute personne agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peuvent pas traiter ces données, excepté sur instruction du responsable du traitement, à moins d'y être obligé par le droit de l'Union ou le droit d'un État membre ».
Ainsi, le sous-traitant ne peut agir que sur instructions du responsable de traitement. Or, il a été démontré que l’éditeur de logiciels a, au cours d’une opération de migration, extrait volume de données supérieur à celui requis.
- Des défauts de sécurité des données ;
La société a fait preuve de négligences au regard des impératifs de sécurité induites par le RGPD à la charge du sous-traitant comme notamment l’absence de procédure spécifique pour les opérations de migration (pas d’effacement non plus), aucun chiffrement des données personnelles stockées sur les serveurs, pas d’authentification ou défaut de sécurité mis en place pour accéder à certaines zones du serveur, défaut de procédure en cas d’alertes de sécurité sur le serveur.
- L’absence d’un encadrement juridique du traitement.
Sur ce point, le RGPD oblige d’encadrer la relation qui unit le responsable du traitement (le laboratoire) et le sous-traitant (la société éditrice de logiciels). Or, il est manifeste que les contrats de maintenance ou les CGV (conditions générales de ventes) ne comportent pas les mentions obligatoires en vue notamment d’assurer la sécurité ou de la confidentialité des données traitées.
Face à ces constatations, la formation restreinte de la CNIL a ainsi prononcé une amende de 1,5 million d’euros rendant cette décision, en sus, publique. Elle justifie le montant de la décision au regard de la gravité des manquements mais aussi sur la base chiffre d’affaires de la société éditrice de logiciels.
Ainsi, la protection des données de santé est un enjeu important aussi bien pour les patients que pour les établissements médicaux.
Le Cabinet Avomedias vous aide à mieux protéger les données personnelles et de santé par une double méthode opératoire. Nous vous assistons tant au contentieux qu’en conseil, tant en prévention qu’en réparation. La mise en conformité RGPD de vos pratiques est un enjeu déterminant dans le bon déroulement de votre activité en matière de santé ou de e-santé.