Fuite de données de santé en période d’épidémie de COVID-19
Tribunal judiciaire de Paris, ord. réf., 4 mars 2021, n° 21/51823
Le 23 février 2021, la presse française a révélé la disponibilité en ligne d’un fichier contenant les données de santé de près d’un demi-million de français. Cet important volume de données incluait notamment des informations sur les diagnostics et traitements administrés aux personnes concernées.
Les FAI condamnés en référé
Dès qu’elle en a eu connaissance, la CNIL a immédiatement demandé à l’éditeur du site internet sur lequel les données étaient disponibles, situé à Guernesey, puis à son hébergeur californien de retirer le fichier litigieux. En vain.
Compte tenu de la gravité de l’atteinte au droit à la vie privée des personnes concernées par cette fuite de données et de l’urgence à la faire cesser, la CNIL a assigné en référé les fournisseurs d’accès internet (FAI) concernés afin que ceux-ci prennent toute mesure utile pour rendre ces contenus inaccessibles au public.
En effet, les articles 1 et 21, IV de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (« Loi Informatique et Libertés ») (accessible ici), ainsi que l’article 6.I, 8° de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (« LCEN ») (accessible ici) permettent à la CNIL de demander en référé la prescription de « toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne » aux FAI, notamment en cas d’atteinte grave et immédiate à l’identité humaine, aux droits de l’homme, à la vie privée, aux libertés individuelles ou publiques.
Par ordonnance 4 mars 2021, le Tribunal judiciaire de Paris a donné droit à cette demande en enjoignant les FAI de mettre en œuvre « toutes les mesures les plus adaptées et les plus efficaces de surveillance ciblées de nature à effectuer le blocage effectif du service de communication au public en ligne » pour une période de 18 mois.
Une possible infraction aux dispositions du RGPD
Cette décision devrait donner à la CNIL le temps nécessaire pour mener à bien des opérations de contrôle et faire la lumière sur le contexte dans lequel cette importante fuite de données de santé est intervenue.
D’après le journal Libération, ces données auraient été dérobées lors de cyberattaques menées contre plusieurs laboratoires utilisant le même logiciel de gestion. Si ces faits étaient avérés, les établissements concernés seraient passibles de sanctions.
En effet, la fuite de données découverte constitue une infraction au Règlement UE n° 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD ») (accessible ici) en ce que :
- d’une part, la mise en œuvre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque sécurité des données » imposée par l’article 32 du RGPD n’a pas été assurée ;
d’autre part, l’article 33 du RGPD impose au responsable de traitement de notifier la violation de données à caractère personnel à l’autorité de contrôle compétente « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques » ; en l’occurrence, la violation de ces données à caractère personnel n’a pas été notifiée à la CNIL, alors même que la fuite était connue depuis le mois de novembre 2020.
La protection renforcée des données personnelles de santé
En outre, cette infraction aux dispositions du RGPD porte sur des données de santé, lesquelles figurent au nombre des « catégories particulières de données à caractère personnel » de l’article 9 du RGPD dont le traitement est, en principe, interdit.
Elles peuvent toutefois faire l’objet d’un traitement, sous réserve du respect des conditions imposées par l’article 9 susvisé. C’est notamment le cas si le traitement des données de santé est nécessaire aux fins de diagnostics médicaux et si ces données « sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel […], ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret […] ».
Les données médicales font ainsi l’objet d’une protection renforcée. Il s’agit d’un enjeu majeur de sécurité, en particulier dans le contexte sanitaire de lutte contre l’épidémie de COVID-19.
Il sera d’ailleurs rappelé que la CNIL a inscrit les données de santé parmi ses trois « thématiques prioritaires de contrôle en 2021 », avec la cybersécurité des sites web et l’utilisation des cookies.
Cinq dispositifs ont été déployés à ce stade : les fichiers SI-DEP et Contact COVID, l’application mobile TousAntiCovid, le système d’information Vaccin COVID pour la gestion et le suivi des vaccinations contre la COVID-19 et le fichier Quarantaine et Isolement.
Les contrôles de la CNIL
Ces dispositifs comprenant de nombreux traitements de données, et notamment des données de santé, la règlementation applicable prévoit que la CNIL et le Gouvernement doivent adresser tous les trois mois au Parlement des avis et rapports détaillés sur leur application.
Dans sa délibération du 27 mai 2021 (portant avis public sur les conditions de mise en œuvre des systèmes d’information développés aux fins de lutter contre la propagation de l’épidémie de COVID-19), la CNIL relève que ses contrôles des dispositifs mis en place lui ont permis d’identifier divers manquements au RGPD. La Commission précise notamment que sa présidente a mis en demeure une agence régionale de santé (ARS) pour ses manquements au RGPD dans le cadre du traitement de données liées au dispositif Contact COVID.
En définitive, aucune structure, même spécialisée, n’est à l’abri d’un manquement et les responsables de traitement prendront donc soin de garantir la sécurité des données sensibles qu’ils traitent par des moyens proportionnés aux risques.