Hausse des plaintes, sanctions accrues, requêtes nouvelles : la Cnil sévit pour protéger les données de santé

Par

Publié le 11/05/2022

La présidente de la Cnil, Marie-Laure Denis
Crédit photo : AFP

Pour la Commission nationale de l'informatique et des libertés (Cnil), 2021 a été une année particulièrement intense. Ce « gendarme » des données numériques a reçu 161 475 appels (+33 % sur un an) et un total de 14 143 plaintes, en hausse de 4 %.

Son rapport d'activité annuel, présenté ce mercredi, confirme qu'une grande partie des plaintes concernent des sujets du quotidien et du numérique : 30 % portent sur l'effacement de données sur internet (droit à l'oubli), 21 % sont liées à la prospection commerciale, associative et politique.

Le secteur de la santé et le social n'est pas en reste et représente 15 % des requêtes traitées et 8 % des plaintes.

De fait, la pandémie a généré des réclamations portant sur les données stockées ou non dans le passe sanitaire, les tests Covid proposés dans les écoles ou la volonté de certains employeurs de vérifier l'état de santé de leurs salariés qui continuaient à aller au travail. « La centaine de plaintes reçues par la Cnil en 2021 liées à la pandémie a conduit la CNIL à rappeler à leurs obligations plusieurs organismes, dont des employeurs, au sujet du passe sanitaire ou de l’obligation vaccinale », peut-on lire dans le rapport.

30 nouvelles missions de contrôle

La Commission a aussi noté une hausse spectaculaire des signalements de violations de données (5 037 notifications, +79 %), liés à la « très forte croissance des attaques informatiques, notamment par rançongiciels » qui ciblent d'abord les entreprises, les collectivités et les organismes publics et particulièrement dans le secteur de la santé. Les données médicales d’1,4 million de Franciliens avaient par exemple été dérobées dans un fichier utilisé par l’Assistance publique-Hôpitaux de Paris (AP-HP).

Dans ce contexte, en 2021, la Cnil a mené « 30 nouvelles missions de contrôles » sur la sécurité des données de santé (laboratoires d’analyses médicales, hôpitaux, prestataires, data brokers en données de santé, professionnels de santé).

1,5 million d'euros contre un éditeur de logiciel

Tous secteurs confondus, la formation restreinte de la CNIL, chargée de prononcer les condamnations, a infligé 18 sanctions – dont la moitié concerne un manquement en lien avec la sécurité des données personnelles – 135 mises en demeure et 214 millions d'euros d'amendes.

En avril, la Cnil avait par exemple sanctionné l'éditeur de logiciel Dedalus biologie d'une amende de 1,5 million d’euros, notamment pour des défauts de sécurité ayant conduit à la fuite de données médicales (nom, prénom, numéro de Sécu, médecin prescripteur, date de l’examen, maladies génétiques, grossesses, traitements médicamenteux suivis par le patient ou encore des données génétiques) de près de 500 000 personnes.

Pour sensibiliser les professionnels, la présidente de la Cnil, Marie-Laure Denis, rappelle que son organisme a publié un référentiel pour les cabinets médicaux. « Nous avions fortement réagi contre la société Francetest pour une sécurisation insuffisante de données de santé », illustre-t-elle. Cette entreprise avait proposé aux pharmaciens de remonter les données à l’occasion de tests de dépistage Covid. La base exposée concernait 386 970 personnes et comportait leur nom, prénom, e-mail, numéro de téléphone, date de naissance, résultat du test (positif ou négatif) et numéro de Sécurité sociale…

Les injonctions et les pénalités sont importantes pour la diffusion de la culture de la protection des données de santé en France, souligne la Cnil. Selon sa présidente, « une sanction à l'encontre d'un cabinet de dentiste permet, avec l'aide de l'Ordre, de mettre en conformité l'ensemble d'un secteur ».