Fuites de données de santé : une nécessité de sécurisation des données 

 

Selon la Commission nationale de l’informatique et des libertés (CNIL), les notifications de violation de données en 2020 ont connu une augmentation de 24% avec une multiplication par 3 des attaques envers des établissements de santé (avec 12 violations en 2019 et 36 violations en 2020). La délibération du 21 avril dernier de la CNIL se place dans cette tendance. En effet, suite à des manquements (ou non-respect) de 3 articles du RGPD, la société DEDALUS BIOLOGIE a été condamnée par la CNIL à hauteur de 1,5 million d’euros en raison d’une fuite de données de santé de 500 000 personnes.

Tout d’abord, les différents documents ne comportaient pas les mesures requises par l’article 28 du RGPD qui dispose que les traitements effectués pour le compte du responsable de traitement par le sous-traitant soient encadrés par un acte juridique formalisé. Ainsi, la CNIL a révélé que le sous-traitant était aussi responsable que le responsable de traitement des manquements. De plus, la partie du contrat relatif aux données personnelles visait des dispositions obsolètes de la loi informatique et Libertés. 

En outre, la société DEDALUS BIOLOGIE a traité plus de données que demandées par ses clients, violant ainsi l’article 29 du RGPD qui dispose que le sous-traitant ne traite les données à caractère personnel que sur instruction du responsable de traitement. Cela semble normal dans la mesure où, selon l’article 29, les données personnelles détenues par le sous-traitant « ne peuvent pas traiter ces données, excepté sur instruction du responsable du traitement, à moins d’y être obligé par le droit de l’Union ou le droit d’un État membre ». 

Enfin, le plus grave des manquements a été l’atteinte à l’obligation d’assurer la sécurité des données prévue par l’article 32 du RGPD. Cet article prévoit que la personne qui traite les données personnelles doit mettre en place en fonction de l’état des connaissance, du contexte, des risques et autres, des mesures de protection appropriées. L’article cite une liste non exhaustive de mesures pouvant être prises comme l’anonymisation des données ou encore la mise en place d’une procédure visant à analyser et évaluer les mesures de traitements et leur sécurité. 

L’approche par les risques est ainsi importante au sein du RGPD. En effet, on raisonne en fonction des risques élevés ou non encourus et cela permet d’avoir des obligations plus ou moins contraignantes. Le traitement des données de santé est ainsi considéré comme étant une donnée sensible selon l’article 9 du RGPD, son traitement est en principe interdit sauf certaines exceptions comme la plupart des traitements de santé qui sont nécessaires aux soins des individus. Ainsi, en présence de ces données particulières, il y a des obligations telles qu’une sécurisation accrue, une obligation de certification (une norme de sécurité européenne) ou encore une obligation de notification à l’autorité régulatrice en cas de cyberattaque. En France, cette dernière est l’Agence nationale de la sécurité des systèmes d’information (ANSSI). 

Cette autorité régulatrice a remarqué que des données de patients étaient accessibles sur le darknet (réseau caché superposé au réseau normal permettant diverses activités illégales en tout anonymat) et qui a transmis aux laboratoires puis à la société sous-traitante les fichiers contenant des données personnelles de santé de près de 500 000 personnes. Cette autorité joue donc un rôle primordial dans la gestion de failles mais également en amont, dans la découverte des failles de sécurité. De plus, la société avait déjà fait l’objet d’un signalement par cette autorité en 2020 et la société avait énoncé avoir pris des mesures pour assurer la protection des données, mesures se révélant inexistantes ou insuffisantes car la fuite des données a eu lieu un an plus tard. 

Cette autorité et son travail d’enquête a permis à la CNIL de relever de « nombreux manquements techniques et organisationnels en matière de sécurité ». Par exemple, il n’y avait pas de chiffrement des données personnelles sur les serveurs, pas d’effacement automatique des données, pas d’authentification nécessaire depuis internet, mais aussi aucune procédure de supervisions et de remontée d’alertes. En somme, la sécurité de ces données sensibles était quasi inexistante. 

Selon la délibération de la CNIL, « Les fichiers d’extractions de données étaient donc envoyés  » en clair  » (c’est-à-dire lisibles directement, car non transformées préalablement via une fonction de hachage), sans aucune mesure de chiffrement ou de sécurité ». Ceci est très problématique en présence de données sensibles d’utilisateurs qui, n’étant pas nécessairement informés sur le sujet, font confiance aux professionnels du secteur. 

C’est donc à bon droit que la CNIL condamne cette société ayant exercé plusieurs graves manquements de protection des données personnelles ayant abouti à la fuite de données de centaines de milliers de personnes. La gravité des manquements incombe donc une amende importante afin de montrer aux autres entreprises que les sanctions sont sérieuses. Ainsi, le calcul coût/avantage représenté par le coût de se conformer aux exigences légales et le coût d’une sanction en cas de manquement, balance en faveur d’une mise en conformité au vu du montant de l’amende. 

Cela se place dans une logique de compliance présente au sein du raisonnement européen. La compliance est le fait de créer des obligations ex ante dont la conformité est susceptible d’être contrôlée par l’administration (en l’espèce, il s’agit de la CNIL). Elle se distingue des régimes préventifs où il faut l’autorisation administrative et du régime de sanction a posteriori. Dans la logique de compliance, il faut être capable de prouver lors du contrôle de l’administration, que l’entreprise a respecté les exigences légales. 

En outre, la CNIL précise que « le manquement reproché n’est pas constitué par les violations de données en tant que telles, mais par les défauts de sécurité qui sont à l’origine de l’intrusion sur les serveurs de la société ». Cela n’est pas une position nouvelle de la part de la CNIL. En effet, elle a déjà condamné à plusieurs reprises des négligences en ce que des mesures éléments de sécurité n’ont pas été pris, permettant ainsi le succès de l’atteinte aux données personnelles. Par exemple, cela a été le cas dans une délibération du 18 juillet 2019 ou encore du 24 juillet 2018.

Selon l’article 34 de la Loi Informatique et Liberté, l’obligation de sécurité est une obligation de moyen et non pas de résultat. Mais alors, il est nécessaire que la société mette en place les meilleurs efforts pour éviter la fuite de données. Ainsi, on partage la responsabilité entre celles des cyber hackers qui réalisent ces attaques et les sociétés détentrices des données qui ont permis le succès d’une attaque en ne sécurisant pas suffisamment leurs structures.

Ainsi, cette délibération de la CNIL démontre une analyse complète d’une négligence de la part d’une entreprise sur la sécurité des données personnelles (sensibles qui plus est) qu’elle traite. Ce genre de contrôle est alors primordial pour que la logique de compliance soit bénéfique. La sécurité informatique présente aujourd’hui un enjeu considérable et l’obligation de sécurité a été prise en compte dans les textes législatifs très tôt et a reçu une nouvelle impulsion avec le RGPD. 

Ce règlement prévoit également de véritables outils permettant aux entreprises et administrations de se mettre en conformité. On pense notamment aux codes de conduites qui est un outil d’accountability (qui est le fait pour des entreprises de se préconstituer des preuves afin de démontrer le respect des règles du RGPD en cas de contrôle). L’entreprise démontre ainsi ses bonnes pratiques à l’aide de ce code de conduite car il faut prendre la décision de créer un code de bonne pratique  et de la faire respecter par les professionnels. 

Il y a également l’obligation faite aux entreprises de notifier une violation de données personnelles à la CNIL et, dans le cas où la violation est faite sur des données où le risque est élevé, aux personnes concernées (ceux dont proviennent les données personnelles). Ainsi, les pouvoirs publics vont pouvoir également agir afin de faire cesser le trouble le plus rapidement possible. Par exemple, dans l’affaire DEDALUS BIOLOGIE, la saisine de la CNIL a permis la décision du Tribunal judiciaire de Paris de bloquer l’accès à un site hébergeant un fichier qui contenait les données de santé des 500 000 personnes. Elle a également pris d’autres mesures afin que les personnes concernées soient informées de la violation. Cela permet soit d’allier la CNIL et la société victime de l’attaque à une réponse rapide et efficace soit de pallier l’inaction de l’entreprise. 

Enfin, il peut également être obligatoire pour l’entreprise de faire une analyse d’impact relative à la protection des données (AIPD). Cela permet de construire des traitements qui seront conformes au RGPD composé d’une « description détaillée du traitement, d’une évaluation de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux et l’étude des risques sur la sécurité des données ainsi que leurs impacts potentiels sur la vie privée ». Cette analyse est intéressante dans la mesure où elle est un véritable outil qui permet aux entreprises d’évaluer leurs structures de traitement des données et de l’adapter au besoin.

L’amende infligée à la société DEDALUS BIOLOGIE est importante mais un levier d’action intéressant pour la CNIL est la publicité de la décision. Elle indique que la fuite de données a reçu une couverture médiatique élevée (notamment des communiqués de la CNIL elle-même qui informait sur l’évolution de l’affaire) et cela va nuire considérablement à son image de marque et à son chiffre d’affaires. La gravité des manquements est également importante justifiant parfaitement une publicité afin que les citoyens puissent prendre conscience des enjeux autour de la sécurisation de leurs données personnelles et de leurs conséquences. 

 

Alice BERKATE

Sources : 

–        Fuite de données de santé : sanction de 1,5 million d’euros à l’encontre de la société DEDALUS BIOLOGIE | CNIL

–        Délibération SAN-2022-009 du 15 avril 2022 – Légifrance (legifrance.gouv.fr)

–        CHAPITRE IV – Responsable du traitement et sous-traitant | CNIL

–        Violation de données de santé : la CNIL rappelle les obligations des organismes à la suite d’une fuite de données massive annoncée dans les médias | CNIL

–        L’analyse d’impact relative à la protection des données (AIPD) | CNIL

–        Santé | CNIL

–        Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données (AIPD) | CNIL

–        Le RGPD appliqué au secteur de la santé | CNIL

MasterIPIT