01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

[#RGPD] Protection des données de santé : la Caisse Nationale d’Assurance Maladie mise en demeure par la CNIL

Donnees sante

Par Gérard HAAS et Anne-Charlotte ANDRIEUX

Depuis 2013 l’open data des données de santé est au cœur de nombreux débats. Alors que les données de santé étaient auparavant le monopole des autorités publiques, leur diffusion s’ouvre à l’aune de la politique de transparence organisée par l’Etat. Ce mouvement d’ouverture de la donnée qui tend à mettre l’information publique à la disposition de tous, questionne régulièrement la capacité des organismes publics à rendre non identifiantes les données qu’ils communiquent. Cette ouverture des données anonymisées de santé a notamment été marquée par l’accès du Système national d’information inter-régimes de l’Assurance maladie (SNIIRAM) à de nouvelles personnes et établissements publics (Voir : Open data et données de santé : enjeux et risques ).   Rappelons alors que cette ouverture se doit d’aller de pair avec la sécurisation des données et l’appréhension des évolutions technologiques.

Les données de santé : objets d’une protection accrue

« L’informatique doit être au service de chaque citoyen. (…) Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». Par ces mots, s’ouvre le texte de la Loi Informatique et Libertés du 6 janvier 1978 offrant pour la première fois un réel régime de protection aux données personnelles. Depuis cette date, le législateur a également consacré l’existence d’une catégorie particulière de données, que sont les données dites sensibles. Sensibles en ce que ce sont les données les plus intimes, celles qui concernent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle. Et parce que la divulgation des données sensibles est particulièrement attentatoire à la vie privée des personnes, ces données font l’objet d’un régime d’exception. Ainsi, par principe, elles ne peuvent être recueillies et exploitées qu’avec le consentement explicite des personnes concernées .

Lorsque leur utilisation est permise, elle demeure très encadrée. Elles ne peuvent être employées et communiquées que dans les conditions légalement prévues et dans l’intérêt de la personne concernée : suivi médical, prévention, recherche médicale ou études statistiques.

A cet égard leur traitement et leur hébergement sont soumis à des règles de sécurité contraignantes (Voir sur ce point : E-SANTE : Mécanismes de protection de l’intégrité des données stockées), raison pour laquelle seulement certains hébergeurs agréés par le Ministère de la santé sont autorisés à héberger les données de santé .

Plus récemment, le considérant n°35 du RGPD est venu apporter une définition européenne commune de la donnée de santé renforçant encore davantage la protection qui leur est accordée. Désormais la donnée de santé s’entend de « l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée. Cela comprend […] un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé ; des informations obtenues lors du test ou de l’examen d’une partie du corps, etc. ».

La Caisse Nationale d’Assurance Maladie mise en demeure par la CNIL pour manquements à la sécurité des données de santé des assurés sociaux.

La Caisse nationale d’assurance maladie collecte et traite les données de santé des assurés sociaux. A ce titre, elle est responsable du traitement d’une base de données extrêmement vaste et sensible.

Le 3 mai 2016, la Cour des comptes publiait un rapport faisant état de failles de sécurité au sein du SNIIRAM, un des traitements de données personnelles opérés par la Caisse nationale d’assurance maladie des travailleurs salariés (CNAMTS) ayant pour objet de regrouper les informations relatives aux remboursements. Parmi les missions du CNAMTS figurent la collecte des données de santé, leur traitement et leur mise à disposition pour de nombreux organismes d’Etat, agences et associations sous une forme anonymisée.  A l’issue de ce rapport, la Commission nationale de l’informatique et des libertés (CNIL) a procédé à une série de contrôles in situ entre les mois de septembre 2016 et de mars 2017.

Si la CNIL ne relève aucune faille majeure, de nombreux manquements à la Loi Informatique et Libertés du 6 janvier 1978 ont tout de même été relevés. La CNIL constate des failles dans la pseudonymisation des données, les procédures de sauvegarde, l’accès aux données, la sécurité des postes de travail ou encore dans les procédés d’extraction de données. Ces failles ont pour conséquence de rendre les données de santé des assurés sociaux vulnérables à l’intrusion de tiers non-autorisés.

Par une décision en date du 8 février 2018, la CNIL a mis en demeure la CNAMTS sur le fondement de l’article 34 de la Loi Informatique et Libertés lequel dispose que le responsable de traitement est tenu de prendre toutes les précautions utiles, au regard de la nature des données et des risques présentés par le traitement pour préserver la sécurité des données.

Si cette mise en demeure ne constitue pas une sanction en soi, la CNAMTS est néanmoins sommée de se conformer aux impératifs de sécurité en vigueur sous un délai de 3 mois. A défaut, les articles 226-17 et 226-24 du code pénal feront encourir une peine d’amende d’un montant pouvant atteinte 1.500.000 euros.

L’Assurance maladie a dit prendre acte de cette procédure et des manquements soulevés faisant savoir que des mesures de renforcement du système ont déjà eu lieu suite à l’entrée en vigueur de la loi n°2016-41 du 26 janvier 2016 dite de modernisation de notre système de santé prévoyant le développement de l’open data de santé. Elle précise encore que les mesures de renforcement de l’anonymisation des données vont être renforcées par l’emploi de nouveaux algorithmes.

Alors que le Dossier Médical Partagé (DMP) accessible à tous sur Internet doit être définitivement mis en place au cours de l’année 2018, la mise en demeure de la CNIL résonne comme un cri d’alarme.

 

Pour plus d’informations, cliquez ici.

 

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com