Le piratage de l’AP-HP et le vol de données personnelles d’1,4 million de personnes sont venus rappeler fort à propos l'été dernier l’importance de la protection des données de santé. Ces données intimes et sensibles ont d’autant plus d’intérêt que les moyens de les collecter sont toujours plus nombreux : objets connectés, dispositifs médicaux, applications… Si bien que selon un article « publié dans Nature Medicine de janvier 2020 («Size up big data »), alors que le volume de données de santé traitées dans le monde était estimé à 153 exabytes [1] en 2013, il devait s’élever à 2 314 exabytes fin 2020.
Dans ce flux de données à la croissance exponentielle, la Commission nationale de l’informatique et des libertés (CNIL) agit, au niveau français, en véritable régulateur des données personnelles. Elle est l’autorité administrative française qui « accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits ». Son activité consiste a répondre aux demandes de conseil, recevoir et instruire les plaintes des citoyens et organiser des contrôle sur place. Elle dispose de larges moyens d’action tels que des mises en demeure ou des pouvoirs de sanction pour faire appliquer les textes de loi relatifs aux différents traitements des données personnelles.
Sur le plan médical, ces données constituent un enjeu majeur pour la recherche. Leur emploi massif durant l’épidémie de Covid a rendu encore plus évident le besoin de contrôler leur usage sans freiner l’innovation. Marie-Laure Denis, présidente de la CNIL, rappelle d’ailleurs dans le rapport d’activité de 2020 que la Commission « a conseillé très activement les pouvoirs publics afin de contribuer, en recherchant le délicat équilibre entre sécurité sanitaire et protection des libertés, à ce que la mise en œuvre des systèmes d’information sanitaires (...) soit respectueuse des droits des personnes concernées ».
Composition
La CNIL dispose de 238 agents, contractuels de droit public, pour exercer l’ensemble des missions qui lui sont dévolues. Ils sont répartis dans cinq directions : de la Conformité, de la Protection des droits et des sanctions, des Technologies et de l’innovation, des Relations avec le public et la recherche, administrative et financière.
Un collège de 18 membres se réunit en « séance plénière une fois par semaine sur un ordre du jour établit par son Président ». Ces séances sont l’occasion d’examiner les projets de textes (lois, décrets…) que le Gouvernement soumet à la CNIL. Ce collège est constitué notamment de quatre parlementaires, de deux membres du Conseil économique, social et environnemental (CESE), de six représentants des hautes juridictions comme le Conseil d’État ou la Cour de cassation et de cinq personnalités qualifiées.
Financement
La CNIL est financée par le budget de l’État à hauteur de 20,1 millions d’euros pour l’année 2020 dont 16,7 millions dédiés à la masse salariale 3,4 au fonctionnement.
Prises de position
Les actions et prises de position de la CNIL prennent différentes formes. En juillet 2020, elle rendait publique une mise en demeure à l’encontre du ministère des Solidarité et de la Santé à propos du traitement des données personnelles par l’application StopCovid. Dans sa décision, la Commission jugeait que l’application « respectait pour l’essentiel les exigences de protection de la vie privée et des données personnelles des utilisateurs ». Elle relevait néanmoins certains dysfonctionnements comme une information incomplète destinées aux utilisateurs sur les destinataires des données traitées au regard du RGPD. La mise en conformité de l’application notamment en ce qui concerne l’information des patients sur les destinataires des données a permis la levée de cette mise en demeure un mois plus tard.
Dans un autre domaine d’intervention, la formation restreinte de la CNIL, organe chargé de prononcer les sanctions, a infligé deux amendes de 3 000 et 6 000 euros en décembre 2020 contre deux médecins libéraux après avoir constaté que « des milliers d’images médicales hébergées sur des serveurs [leur] appartenant étaient librement accessibles sur Internet ». Sans rendre publique l’identité des médecins, la Commission a communiqué cette décision afin d’alerter les professionnels de santé sur leurs responsabilités relatives au traitements des données de leurs patients sur Internet. Elle souhaite les amener à « choisir des solutions applicatives présentant le maximum de garanties en termes de sécurité informatique et de protection des données personnelles ». Une décision prise pour l’exemple, alors même que les grandes structures hospitalières peinent à se conformer aux normes de sécurité informatique.
[1] 1 exabyte = 1 milliard de gigabytes
Exergue : «La Commission a recherché le délicat équilibre entre sécurité sanitaire et protection des libertés»
Violences sexistes et sexuelles : la Pr Agnès Buzyn se paye l’Ordre pour avoir « trop souvent protégé » les harceleurs
La santé publique doit être la deuxième priorité du Parlement européen, selon un sondage
Pas d’écrans avant 3 ans, pas de téléphone avant 11 ans… : la commission d’experts propose un guide fondé sur la science
Violences sexistes et sexuelles
Comment s’enracinent les schémas de domination à l’hôpital