LA SÉCURITÉ DES DONNÉES DE SANTÉ DU PATIENT

Par Nathalie Boudet-Gizardin, counsel et Camille Faour, collaboratrice.

La Commission Nationale de l’Informatique et des Libertés (CNIL) a récemment rappelé aux acteurs de la santé l’impérieuse nécessité d’assurer la sécurité des données de santé de leurs patients qu’ils collectent et traitent.

Cette obligation s’impose aux acteurs de la santé aux termes de l’article 32 du Règlement Général sur la Protection des données (RGPD) entré en vigueur le 25 mai 2018 et transposé en droit français par la loi du 20 juin 2018[1].

Chargée de veiller à la protection des données de santé des patients, la CNIL se montre ainsi extrêmement vigilante quant au respect de celle-ci par les médecins et les pharmaciens, mais également par leurs sous-traitants.

À ce titre, l’Autorité de contrôle n’hésite pas à sanctionner tout manquement en la matière, comme en témoigne plusieurs décisions récentes publiées exceptionnellement sur Legifrance, compte tenu de l’importance de leur portée.

  • Deux radiologues condamnés pour manquement à la protection des données de santé de leurs patients

Le 7 décembre 2020, deux radiologues ont été respectivement condamnés par la CNIL à des amendes administratives de 3.000 € et 6.000 € pour ne pas avoir suffisamment protégé les données personnelles de leurs patients et ne pas avoir notifié une violation de ces données à la CNIL[2].

En effet, dans deux affaires du même jour, publiées sur légifrance, la CNIL a constaté, à la suite d’un contrôle « en ligne » réalisé en septembre 2019, que des milliers d’images médicales (IRM, radios, scanners, etc…) hébergées sur des serveurs informatiques appartenant aux deux médecins radiologues étaient librement accessibles sur internet[3].

Ces images, qui contenaient notamment les noms, prénoms, dates de naissance et dates de consultations des patients, n’étaient pas protégées par cryptage ou chiffrement et étaient accessibles en ligne depuis 4 mois dans la première affaire, et 5 ans dans la seconde affaire.

À l’issue de leur audition devant la formation restreinte de la CNIL, les praticiens ont admis avoir commis plusieurs erreurs de paramétrages sur leur box internet et sur leur logiciel d’imagerie médicale en voulant accéder aux fichiers à distance.

La CNIL a donc sanctionné les deux radiologues sur le double fondement des articles 32 et 33 du RGPD.

  • S’agissant de la violation de l’article 32 du RGPD, la CNIL a mis en évidence un manquement à la sécurité des données des patients par les radiologues. Elle a notamment précisé qu’ils auraient dû s’assurer que la configuration de leurs réseaux informatiques ne conduisait pas à rendre les données librement accessibles sur internet et auraient dû procéder au chiffrement systématique des données personnelles hébergées sur leurs serveurs. Elle a ajouté que ces exigences élémentaires en matière de sécurité informatique incombent à tout responsable de traitement. En effet, rappelons que les médecins sont tous responsables du traitement des données de leurs patients. À ce titre, ils doivent mettre en place des mesures techniques appropriées pour garantir la protection de ces données.
  • Sur le fondement de l’article 33 du RGPD, la CNIL a également retenu un manquement des radiologues à leur obligation de lui notifier les violations des données qu’ils avaient personnellement constatées. Dès que les professionnels de santé s’aperçoivent en effet d’une violation de leurs données, ces derniers ont une obligation d’alerte à l’égard de la CNIL dans un délai de 72 heures suivant cette constatation.

Si la CNIL n’a pas révélé l’identité des deux médecins libéraux, elle a en revanche voulu attirer l’attention des professionnels de santé sur la nécessité de renforcer leur vigilance sur les mesures de sécurité à apporter aux données personnelles qu’ils traitent, notamment en choisissant les applications les plus sécurisées et en s’entourant de prestataires compétents en la matière[4].

  • La Société FRANCETEST, sous-traitant des pharmaciens, mise en demeure pour manquement à la protection des données de santé

Plus que jamais d’actualité compte tenu de la crise sanitaire actuelle, la société FRANCETEST a été mise en demeure, par une décision de la CNIL du 4 octobre 2021, également publiée sur légifrance, de garantir la sécurité et la confidentialité des données de santé qu’elle collecte pour le compte de centaines de pharmacies à l’occasion de test de dépistage à la COVID-19[5].

Créée pendant l’épidémie de la COVID-19 pour agir comme intermédiaire entre les pharmaciens et les patients, la société FRANCETEST exploite une plateforme utilisée par des pharmaciens pour la collecte des données à caractère personnel de leurs patients réalisant des tests antigéniques.

En pratique, les patients souhaitant faire un test antigénique accèdent à un espace en ligne en scannant, avec leur téléphone mobile, un QR code (code à réponse rapide) et remplissent un formulaire hébergé sur le site internet francetest.fr où ils renseignent leur nom, prénom, date de naissance, adresse postale, courriel, numéro de téléphone, numéro de sécurité sociale ou encore le date d’apparition des premiers symptômes.

Après réalisation d’un test antigénique, le pharmacien doit renseigner le résultat de l’examen dans son interface en ligne sur la plateforme FRANCETEST et valider sa transmission vers la plateforme SI-DEP (Système d’Informations de DEPistage)[6]. Une fois la transmission effectuée, FRANCETEST envoie alors un courriel au patient l’informant du résultat de son test[7].

Informée le 27 août 2021 par un signalement anonyme, de l’existence d’une violation de sécurité affectant les données exploitées sur le site internet francetest.fr, la CNIL a mené une enquête sur les circonstances de cette violation et a vérifié l’existence de mesures prises pour assurer leur sécurité.

En l’espèce, un défaut de configuration du serveur web permettait d’accéder au contenu du répertoire du site francetest.fr, comprenant notamment le code source du service et les identifiants de connexion donnant accès à la base de données patients. Certains extraits comprenant toutes les données du formulaire renseignés par les patients lors de la réalisation d’un test étaient lisibles[8] [9].

Si l’Autorité de contrôle a indiqué que FRANCETEST avais pris plusieurs mesures pour corriger le défaut à l’origine de la violation des données, elle a en revanche constaté que le service de la société souffrait toujours de plusieurs insuffisances en matière de sécurité de santé, qui ne permettaient pas d’assurer la confidentialité des données traitées.

La CNIL a notamment relevé que :

  • Les données de santé n’étaient pas hébergées, conformément à l’article L. 1111-8 du Code de la santé publique[10], chez un prestataire disposant de l’agrément HDS (hébergement de données de santé) délivré par le Ministère chargé de la santé ;
  • Les processus d’authentification n’étaient pas suffisamment robustes ;
  • Les procédés cryptologiques ou de chiffrages utilisés étaient faibles.

Aux termes de cette mise en demeure, la CNIL a rappelé que les pharmaciens demeurent seuls responsables de traitement et que la réalisation des tests s’effectue sous leur responsabilité « y compris la mise en œuvre opérationnelle impliquant, outre le test en lui-même, la collecte des données des patients et leur transmission vers la plateforme SIDEP »[11].

De plus, l’Autorité de contrôle a qualifié la société FRANCETEST de sous-traitant au sens de l’article 4, 8) du RGPD[12] et a indiqué, qu’à l’instar du pharmacien, responsable de traitement, le sous-traitant est également tenu d’assurer la sécurité des données de santé conformément à l’article 32 du RGPD, laquelle constitue une obligation renforcée en présence de données de santé (considérant 75 du RGPD)[13].

Dans ce contexte, la CNIL s’est rapprochée de plus de 300 officines utilisatrices de la plateforme FRANCETEST afin qu’elles vérifient leur système de conformité au RGPD.

Elle a également pris attache avec le Conseil National de l’Ordre des Pharmaciens (CNOP), pour sensibiliser la profession sur les traitements de données personnelles qu’elle met en œuvre[14].

Il résulte des décisions précitées rendues par la CNIL que les professionnels de santé doivent rester particulièrement attentifs à la protection des données de leurs patients notamment lorsqu’ils ont recours à des sous-traitants.

[1] Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.

[2] CNIL, Délibération SAN-2020-014 du 7 décembre 2020; CNIL, Délibération SAN-2020-015 du 7 décembre 2020.

[3] Ces données étaient exploitables par l’intermédiaire d’un simple logiciel de consultation d’images médicales.

[4] CNIL, « Violation des de données de santé : la CNIL sanctionne deux médecins », 17 décembre 2020.

[5] CNIL, Décision n°MED-4 octobre 2021.

[6] Le SI-DEP est un système d’informations national de dépistage créé par le décret n°2020-551 du 12 mai 2020, ayant pour finalité de centraliser les résultats d’examens de dépistage virologique ou sérologique de la COVID-19.

[7] CRICHTON Cécile, « Violation de données de santé et covid-19 », Dalloz IP/IT 2021 p.538

[8] CRICHTON Cécile, « Violation de données de santé et covid-19 », Dalloz IP/IT 2021 p.538

[9] La base de données litigieuse concernait 386 970 personnes et comportait leur nom, prénom, adresse de courriel numéro de téléphone, date de naissance, résultat du test (positif ou négatif) et numéro de sécurité sociale (NIR) des patients.

[10]à celles-ci et leurs modalités de transmission sont subordonnées à l'accord de la personne concernée.

[11] CNIL, Décision n°MED-4 octobre 2021.

[12] L’article 4, 8) du RGPD définit le « sous-traitant » comme la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

[13] Décision MED-2021-093 du 4 octobre 2021 : « À la lumière du considérant 75 du RGPD, qui éclaire la portée à donner à cet article, lorsque le traitement en cause porte sur des catégories particulières de données à caractère personnel, comme des données de santé, le traitement doit bénéficier de mesures de sécurité renforcées (…) ».

[14] CNIL, « COVID-19 : mise en demeure de la société Francetest pour sécurisation insuffisante des données de santé », 14 octobre 2021.

Portraits GINESTIÉ MAGELLAN PALEY-VINCENT 2021

Nathalie Boudet-Gizardin

Counsel

Elle a rejoint le cabinet la même année au sein de l’équipe Civil et Santé de Catherine Paley-Vincent. Elle conseille les acteurs de santé particulièrement en matière de :

Défense civile, disciplinaire et pénale des professionnels de santé, des ordres professionnels et des laboratoires de biologie médicale et vétérinaire

Conseil et assistance des professionnels de santé pour structurer leurs activités, y compris dans le cadre de coopération public/privé, notamment en imagerie médicale.

Accéder à sa fiche


Autres articles :

Le droit du patient à la rectification ou à l’effacement de ses données Publicité et professionnels de santé : la jurisprudence annonce-t-elle la fin de l’interdiction ? Covid 19 : nouvelles règles d'organisation des soins dans les établissements de santé Palmarès des avocats 2020 - le cabinet parmi les meilleurs en droit de la santé