Données de Santé en France : où en est-on ?

Mise à jour : le 24/02/2020 la CNIL fait un état des lieux du sujet et rappelle les obligations des responsables de traitements de données et particulièrement pour les données très sensibles comme celles concernant la santé : https://www.cnil.fr/fr/violation-de-donnees-de-sante-la-cnil-rappelle-les-obligations-des-organismes-la-suite-dune-fuite-de

(attention, ne cherchez pas une réponse exhaustive à cette question dans ce billet - c'est un sujet vaste et j'ai pas mon master en droit)

Vous l'avez peut être vu passer : une fuite de données de santé concernant des patients français a eu lieu. Cette fuite est massive (on parle d'environ 500 000 enregistrements). Ce fichier est maintenant en accès libre sur Internet ce qui représente un risque important pour les patients concernés. ⚠️ Attention, si vous êtes tenté·e d'aller chercher ce fichier cet acte est très probablement illégal (Code de la Santé Publique, article L1110-4 IV: peine d'un an d'emprisonnement et 15000€ d'amende).

Votre humble serviteur ne va pas redonner tous les détails concernant cette fuite de données car la presse en a déjà beaucoup parlé et il me semble ici important de parler d'autre chose : les obligation qui reposent sur les épaules des gens qui collectent et traitent des données de santé. J'ai tenté de plonger dans un peu de droit, ce n'est pas mon domaine alors n'hésitez pas à être vigilant·e·s, à vérifier, à recroiser les informations.

A la fin de cet article je vais poser des questions sur le sujet des données de santé, sur l'usage qui est fait des ordinateurs dans notre parcours de santé et interroger l'état où nous en sommes arrivés dans ces pratiques. Si le droit vous barbe, vous pouvez aller directement à la fin, je tenterais de reprendre dans cette liste de questions celles qui me sont venues à la lecture des quelques texte de loi que j'aborde au début de cet article. Bonne lecture à vous.

Si vous n'avez pas le contexte de ce quoi on parle, voici quelques articles de presse :

• https://www.franceinter.fr/societe/ce-que-l-on-sait-de-la-fuite-sans-precedent-de-donnees-medicales-de-laboratoires-d-analyses
• https://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/piratage-informatique-ce-que-l-on-sait-de-la-fuite-de-donnees-medicales-de-pres-de-500-000-patients-francais_4308983.html
• https://www.nextinpact.com/article/43405/un-leader-europeen-donnees-sante-licencie-lanceur-dalerte-pour-faute-grave
• Libération, version papier n°12348 du 24/02/2021

Bref. Donc on a cette violation de données de santé et le truc qui m'a lancé dans ma recherche du jour et dans la rédaction de cet article c'est la lecture du journal Libération, dans sa version papier (numéro 12348 paru le 24/02/2021). Celui-ci affirme la chose suivante :

Car si la protection des informations ayant une valeur économique est très régularisée en France avec, entre autres, des directives très claires sur le chiffrement des données bancaires et l'obligation d'alerter les autorités de toute faille possible, rien de tout cela ne semble exister pour les informations médicales.

En lisant ça je me suis dit qu'il y avait un problème. En France et en Europe on a au moins le RGPD qui parle des données personnelles et qui nous apporte un certain degré de protection. Comment les données médicales ne pourraient-elles pas, au moins, être concernées par le RGPD ?

C'est là que commencent mes recherches.

De ce que j'en ai retenu : les données de santé sont au moins concernées par deux textes :

• le RGPD
• le Code de la santé publique

Le RGPD définit les données de santé sous le terme "données concernant la santé" (article 4-15) comme:

les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne

Pour résumer : une donnée de santé est une donnée à caractère personnel. Donc il convient de regarder ce que dit le RGPD pour protéger une donnée personnelle. On a, à minima, ça en droits. Il faudra alors chercher ce qui vient s'ajouter à ces droits puisque les données de santé sont particulièrement sensibles.

Pour les données personnelles l'article 9 dit que par défaut certaines données ne peuvent pas être traitées sans que des conditions soient remplies. La liste des données personnelles citée par l'article 9 contient les "données concernant la santé".

L'article 9 explique ce qui est autorisé et ce qu'il n'est pas autorisé de faire avec ces données. Attention cependant, l'article 9 ne parle pas de la sécurisation des données, on verra ce point plus tard. L'article 9 nous permet simplement de répondre à la question, si elle existait, de la légitimité ou non pour un laboratoire de faire un tel traitement/collecte de données et dans quelles conditions ces opérations doivent être faites. La partie sur le consentement est hyper importante ici. Première question : est-ce que les professionnels de santé que vous avez consulté vous ont tenu au courant du traitement fait avec les données qui étaient entrées dans l'ordinateur du professionnel de santé ?

Toujours dans l'article 9 (paragraphe 3), il est précisé que les finalités de médicales et sociales (je vous laisse lire l'article 9, paragraphe 2-h pour avoir la liste exhaustive) sont autorisées **si et seulement **si ce traitement est effectué:

• par un professionnel de la santé soumis au secret professionnel
• par des organismes nationaux compétents
• ou à une autre personne soumise à une obligation de secret et sous la responsabilité du professionnel de santé

Autrement dit on ne fait pas n'importe quoi. La responsabilité première est de respecter le secret professionnel, et en l'occurence le secret médical. On parle, avec les données de santé d'une catégorie de données des plus sensible pour les personnes concernées. Vous n'avez pas envie que tout le monde sache votre statut VIH, que vous êtes enceinte, que vous êtes trans, que vous avez un diabète, etc. Pas vrai ?

La CNIL a mis une FAQ à destination des professionnels de santé. Elle rappelle entre autres que :

Les données que vous collectez sur les patients doivent être adéquates, pertinentes et limitées à ce qui est strictement nécessaire à la prise en charge du patient au titre des activités de prévention, de diagnostic et de soins.

Donc on n'a pas le droit de collecter n'importe quoi parce qu'on peut le faire. On doit être responsable de ce qu'on saisit dans son ordinateur.

Coté sécurisation, le professionnel est responsable "des accès non autorisés ou illicites [...], de la perte, la destruction [...]" des données (voir là encore la FAQ de la CNIL). A cette fin, le professionnel doit prendre prendre des précautions afin de protéger les données du patient. Pour faire ça, le professionnel doit mettre des contre-mesures en place. Ces contre-mesures peuvent être organisationnelles ou techniques. Le but est de protéger la confidentialité et de garantir l'intégrité des données. Dans le cas du jour il semble que même les mots de passe des utilisateurs n'étaient pas chiffrés.

Si cette charge de la sécurisation est trop lourde à exercer par le professionnel de santé (on pense entre autres aux petites structures comme les cabinets libéraux), alors le professionnel peut se tourner vers un sous-traitant. Le sous-traitant doit apporter des garanties en terme de sécurité au regard du risque en présence. On le rappelle, ici on parle de données de santé, coté risques on est servis (allez une idée en l'air bien pessimiste : "je suis une assurance et je ne veux surtout pas me retrouver à assurer des gens qui vont passer l'arme à gauche dans 3 mois - certaines infos de santé sont cruciales pour préserver mes profits - nananère").

Pour effectuer ce traitement vous devez tenir un registre qui liste les traitements que vous effectuez. En ayant fait ce travail ca devrait être un jeu d'enfant de répondre aux questions des patients qui se demande ce qu'il adviendra des données les concernant.

Enfin, rappelons-le **lorsqu'une violation de données a eu lieu et que celle-ci représente un risque ou un risque élevé **alors la personne responsable du traitement de données se doit de notifier l'autorité de contrôle (en France c'est la CNIL) dans les 72h. Ces 72h comptent à partir du moment où la violation a été constatée par la personne ayant procédé au traitement de données.

On ne manquera pas de mettre en évidence que pour relever une violation de données encore faut-il mettre en place des dispositifs techniques et organisationnels pour y parvenir. Quand c'est la presse qui vous apprend qu'il y a un problème, c'est un très gros problème.

Lire, comme on a pu le lire dans la presse au sujet de cette fuite de données, que les gens qui traitent les données s'attendaient à recevoir une notification de la part des autorité est assez étonnant. Attendre que l'autorité prévienne le responsable du traitement c'est laisser beaucoup d'eau couler sous les ponts et c'est pas comme ça qu'il est attendu, au regard du RGPD, que ça se passe. Certes les autorités peuvent notifier une entreprise qu'elle a un soucis de sécurisation mais en principe la notification de l'entreprise vers l'autorité de contrôle (la CNIL) est sensé être la norme :

• Le responsable du traitement constate une violation de données
• Le responsable du traitement notifie les autorités dans les 72h
• Le responsable du traitement prévient les gens concernés par la violation (clients, patients etc)

Ici on n'est pas dans une démarche de "pas vu pas pris". On est dans une démarche pro-active et on est sensés être en capacité d'être les premiers à avertir d'une violation de données. Par capacités on entend des capacités techniques (monitoring, etc) et des capacités organisationnelles. Ce fonctionnement est une très bonne idée car il y a une très bonne raison à détecter rapidement et à prévenir rapidement en cas de fuite de données : Toute donnée peut être utilisée pour d'autres fins. Une autre fin c'est par exemple une attaque future. Par exemple une campagne de Phishing (Hammeçonnage), du Social Ingineering (Ingénérie sociale), etc. On peut aussi utiliser ces données pour obtenir des droits d'accès supplémentaires sur d'autres systèmes d'information etc.

Dans le cas présent, si les mots de passe sont en réellement en clair (non chiffrés) et que le fichier contient aussi les emails des patients alors il y a une énorme probabilité pour pouvoir accéder aux boites mails des patients puisque les gens ont la mauvaise habitude d'utiliser le même mot de passe sur plusieurs services. Quand on voit que plein de services se basent sur le mail pour les procédures d'authentification il y a de quoi craindre.

Vous comprenez alors pourquoi il est important de pas faire n'importe quoi avec les données des gens et pourquoi il faut prévenir les gens concernés au plus vite. Parce que ces gens doivent pouvoir savoir que leurs données sont dans la nature et que, pour certaines d'entre elles, il est possible d'atténuer les effets (par exemple en changeant en urgence le mot de passe de son courriel).

Quand une fuite de donnée intervient comme ici, le manque de sécurité d'une partie provoque un manque de sécurité collectif.

L'article 32 parle, de son coté, des obligations de sécurité attendues:

le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque

L'article 32 évoque très clairement des moyens connus de protection : le chiffrement, la pseudonymisation etc. Ce sont des moyens connus mais encore trop rarement mis en oeuvre.

On a parlé du RGPD mais pas encore du Code de la Santé Publique.

Les articles importants semblent être les L1110-4, L1111-7 et L1111-8.

Le L1110-4 rappelle (paragraphe I) qu'une personne prise en charge médicalement "a droit au respect de sa vie privée et du secret des informations la concernant". Ce même article précise (paragraphe II) que les professsionnels de santé peuvent échanger des données avec d'autres professionnels si ces professionnels traitent un même patient et ce si et seulement si c'est nécessaire à la coordination ou à la continuité des soins, pour la prévention ou le suivi médico-social et social. Au paragraphe III dit que si les informations sont partagées entre professionnels et que ceux-ci ne sont pas dans la même équipe de soins alors le consentement du patient est nécessaire. Au IV : une personne a le droit de s'opposer au partage d'informations, elle peut le faire à tout moment et doit être informée que ce droit existe. Enfin, si vous tentez de récupérer ces informations malgré tout vous encourrez 1 an de prison et 15k€ d'amende (V)

Le L1111-7 rappelle qu'une personne a le droit d'accéder à ses propres informations.

Le L1111-8 décrit les obligations en terme d'Hébergement de Données de Santé (HDS) :

• on ne peut héberger une donnée que si la personne prise en charge a été informée et que celle-ci n'a pas formulé d'opposition avec un motif légitime (paragraphe I)
• seul un hébergeur certifié peut héberger des données de santé (paragraphe II)
• seul un hébergeur agréé par le ministère de la culture (sic) peut héberger des données de santé (paragraphe III)
• un hébergeur de données de santé ne peut utiliser les données pour une autre finalité que pour l'hébergement même de ces données (paragraphe 5)

Là encore il existe une FAQ, éditée par L'agence du numérique en santé.

J'ai une question qui me vient en lisant la question 2 de la FAQ ci-dessus et aussi le passage suivant qu'on peut trouver sur esante.gouv.fr :

Les hébergeurs de données de santé sur support numérique (en dehors des services d’archivage électronique) doivent être certifiés.

Est-ce à penser que les services de sauvegarde (backup) ne sont pas concernés par la certification/agrément ? Comme le niveau de sécurité est toujours basé sur le plus faible maillon de la chaine, que penser ? Est-ce que l'hébergement en interne (c'est à dire sans passer par un sous-traitant) ne nécessite pas de certification / agrément et qu'il faut se contenter des obligations posées par l'article 32 du RGPD ?

Questions en vrac

• Pourquoi certains laboratoires d'analyse médicalent utilisent le numéro de téléphone comme mot de passe pour accéder aux analyses ?
• Comment peut-on fournir / exploiter un système d'information traitant des données de santé alors que ce système d'information ne procède même pas au chiffrement des mots de passe des utilisateur (alors que de ne pas le faire est une mauvaise pratique en terme de cybersécurité depuis des lustres)
• Comment tolérer que des informations de santé puissent passer sur des boites mail de toutes sortes (par exemple une boite mail gérée par un des GAFAM) alors que par ailleurs on exige des certifications pour héberger des données de santé ?
• Comment peut-on tolérer l'usage de plateformes de visioconférences non certifiées pour la réalisation de consultation médicale à distance (pendant le confinement on a vu un usage massif de plateformes qui sont loin de briller par leur sécurisation et pas mieux du coté du respect de la vie privée)
• Est-ce que le professionnel de santé chez qui vous allez vous tient au courant de ce qu'il enregistre dans son ordinateur et des traitements qui seront fait de ces informations ?
• Pourquoi doit-on accepter dans certains cas de voir ses rendez-vous médicaux arriver dans un calendrier partagé géré par google ?
• Est-ce que les entreprises qui font du backup (sauvegardes) de données de santé sont soumises à agrément / certification au même titre que les Hébergeurs de Données de Santé ?
• Quelle certification / agrément est nécessaire pour les professionnels qui hébergent dans leurs locaux les données de santé de leurs patients ?
• Ajoutez vos questions aux commentaires ;)

Photo CDC @ Unsplash