Posted by Eléonore Scaramozzino, Avocat
Dans ses 2 délibérations du 7 décembre 2020, délibération SAN-2019-014 et délibération SAN-2019-015, la Cnil sanctionne deux médecins libéraux pour manquement à l’obligation de sécurité et manquement à l’obligation de notification des violations des données à caractère personnel. En l’espèce, les images médicales (IRM, Radios, Scanners,…) identifiables de leurs patients n’étaient pas chiffrées et librement accessibles sur le net.
Délibération SAN-2019-014 et Délibération SAN-2019-015 du 7 décembre 2020
Manquement à l’obligation de sécurité
Le Médecin qui détermine les finalités et les moyens du traitement de données, est considéré comme le responsable au sens du RGPD. Il est soumis à des obligations, notamment de garantir la sécurité et la confidentialité des données. Il doit adopter des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon le besoins, le chiffrement des données (art 32, para 1, a) du RGPD). Les données de santé sont des données sensibles au sens du RGPD (art 9). Elles nécessitent une protection spécifique, qui relève du RGPD, du code de la santé publique (CSP) et de la Politique générale de sécurité des systèmes d’information de santé (PGSSIS).
A l’issue d’un contrôle en ligne, la Cnil, établit que des images médicales des patients de médecins libéraux étaient librement accessibles à partir de l’adresse IP de son serveur.
L’obligation de sécurité à la charge du médecin traitant : Le médecin en qualité de responsable de traitement, doit adopter des mesures techniques et organisationnelles en fonction notamment de la portée, du contexte et des finalités du traitement ainsi que des risques pour les personnes concernées. Au titre des exigences essentielles, pour la sécurité informatique, il doit mettre en œuvre le chiffrement des données à caractère personnel et des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services de traitement.
Le Guide pratique pour les médecins invite les médecins à procéder au chiffrement des données de leurs patients avec un logiciel adapté. La sécurisation du Système informatique nécessite l’adoption de mesures techniques et organisationnelles, dont notamment celles recommandées par le Conseil National de l’Ordre des médecins (CNOM) : En ce qui concerne les mesures spécifiques pour le stockage des données de santé, le CNOM rappelle que : « En cas de recours à un prestataire de service pour assurer la maintenance du logiciel gérant les dossiers de vos patients, celui-ci n’est pas censé accéder aux données de santé à caractère personnel. Il a un rôle purement technique. En principe, les données doivent être chiffrées afin de permettre au technicien d’assurer ses missions sans pouvoir lire ces données. »
Si le médecin a recours à un prestataire extérieur, pour le stockage, l’infogérance, ce dernier doit être certifié HDS (art L 1111-8 CSP). Le décret n° 2018-137 du 26 février 2018 relatif à l’hébergement de données de santé à caractère personnel définit la nouvelle procédure de certification. Elle repose sur 2 référentiels : référentiel de certification+ référentiel d’accréditation. L’hébergement des données de santé est encadré par une évaluation de conformité à un référentiel de certification, réalisée par un organisme de certification accrédité par le COFRAC. Cette procédure de certification pour l’hébergement de données de santé à caractère personnel sur support numérique remplace l’ancienne procédure d’agrément.
La relation entre le médecin et ce prestataire de service doit être formalisée par un contrat de sous-traitance (art 28 du RGPD). Le RT donne des instructions claires au Sous-traitant (SST).Ce dernier agit au nom et pour le compte du RT au sens du RGPD.
Le manquement à l’obligation de notification
Dans les 2 affaires les 2 médecins ont eu connaissance de la violation par la notification du contrôle par la délégation de contrôle de la Cnil. Devaient-ils respecter l’obligation de notification de l’article 33. 1 du RGPD ?
RGPD
L’article 33.1 du RGPD, en cas de violation de données à caractère personnel, le responsable du traitement notifie la violation à la Cnil, autorité compétente, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, sauf si la violation en question n’est pas susceptible d’engendrer un risque pour les droits et les libertés des personnes concernées.
Article 34 : communication de la violation aux personnes concernées si elle représente un risque élevé pour leurs droits et leurs libertés. Le RT doit communiquer aux personnes concernées la violation de données à caractère personnel, dans les meilleurs délais, « lorsque la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et les libertés d’une personne physique » (art 34, §1). Le RT peut être tenu d’informer les personnes concernées d’une violation de leurs données à caractère personnel sur demande expresse de la CNIL (art 34, §4). Même en cas de risque élevé pour les personnes concernées, la communication de cette violation n’est pas nécessaire si l’une ou l’autre des 3 hypothèses s’applique :
- Le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est plus autorisée à y avoir accès (chiffrement) ;
- Le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées n’est plus susceptibles de se matérialiser ;
- Une information individuelle des personnes concernées exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace (art 34 §3).
Interprétation de la Cnil
La Cnil a considéré que la circonstance que la violation de données ait été portée à la connaissance du responsable de traitement par le service des contrôles de la CNIL ne le déchargeait pas de cette obligation, dans la mesure où ce dernier peut avoir connaissance d’éléments complémentaires relatifs à la violation des données qui méritent d’être communiqués aux services compétents de la CNIL, qui ont pour mission de centraliser les différentes violations des données et d’en assurer le suivi afin de prévenir la compromission de données à caractère personnel.
Si la violation en question n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, le RT n’est pas soumis à l’obligation de notification.
Le Médecin devra inscrire la violation : Registre de l’activité de traitement (art 30) ; Registre spécifique (tableau récapitulatif des incidents) et contacter le plus rapidement possible son assurance de responsabilité professionnelle pour information
Signalement des incidents de sécurité
Notification à l’ARS : Si l’incident a eu lieu au sein d’établissements de santé, d’hôpitaux des armées, de laboratoires de biologie médicale ou de centres de radiothérapie, la structure doit également notifier l’incident à l’Agence régionale de santé compétente.
Art L. 1111-8-2 du CSP : Obligation de déclarer les incidents de sécurité des systèmes d’information depuis le 1er octobre 2017.
Incident : conséquences potentielles ou avérées -sur la sécurité des soins ;- sur l’intégrité ou la confidentialité des données de santé ;- sur le fonctionnement normal de l’établissement.
ACSS : Le fonctionnaire de sécurité des systèmes d’information (FSSI) et l’ANS apportent un appui aux ARS et aux structures concernées au travers d’un dispositif spécifique, la cellule Accompagnement Cybersécurité des Structures de Santé (ACSS). L’ARS compétente s’appuie sur la cellule ACSS qui analyse la déclaration et qualifie les incidents signalés pour son compte. A ce titre, l’ARS est informée de l’ensemble des échanges relatifs au traitement entre la cellule ACSS et la structure impactée. Elle prend en charge les éventuelles conséquences de l’incident de sécurité sur l’offre de soins de son territoire
Sanction
