Hébergement, protection, partage de données sensibles: qu'impose la CNIL?
Article écrit par
Leslie d'ExodataTemps de lecture estimé : 16 minutes
Les données de santé sont des informations personnelles dont le caractère sensible est reconnu par le RGPD. Afin de protéger le droit des personnes concernées par ces données, plusieurs réglementations ont été mises en place. La CNIL joue un rôle important dans la vérification de la conformité du traitement de ces informations et dans l'éventuelle sanction des manquements aux obligations légales.
01. Les réglementations applicables aux données sensibles
02. Les actions de la CNIL
03. Les sanctions pour non-respect des règles relatives aux DSCP
04. La certification HDS pour l'hébergement des données de santé
01. Les réglementations applicables aux données sensibles
La définition des données sensibles par le RGPD
Suite à la mise en place du Règlement Général sur la Protection des Données (RGPD), applicable au niveau européen (mai 2018), il existe une définition claire des données de santé à caractère personnel (DSCP). Les DSCP sont des informations concernant la santé physique ou mentale, présente, passée ou future d'une personne physique. Elles donnent des indications sur l'état de santé de cette personne.
Le régime juridique applicable aux DSCP
Plusieurs législations peuvent s'appliquer selon les cas : la Loi Informatique et Libertés et le Code de la Santé Publique (CSP).
Le CSP peut être appliqué pour les dispositions suivantes :
- secret professionnel ;
- hébergement des DSCP ;
- mise à disposition des informations de santé ;
- sécurité et interopérabilité des DSCP ;
- interdiction de cession ou d'exploitation commerciale des informations de santé ;
- etc.
02. Les actions de la CNIL
Qui peut être contrôlé par la CNIL ?
La CNIL peut réaliser des contrôles dans tout organisme traitant des informations personnelles si celles-ci concernent des personnes résidant en France ou si l'organisme concerné possède un établissement installé sur le territoire national.
Quelles sont les raisons amenant à un contrôle ?
Plusieurs raisons peuvent conduire à un contrôle de la CNIL concernant les données personnelles :
- mises en demeure, sanctions et procédures de contrôle clôturées ;
- investigations dans le cadre de thématiques liées à l'actualité ;
- signalements et réclamations : des plaintes et des lettres anonymes sont adressées à la CNIL qui peut alors diligenter un contrôle ;
- plans de contrôles annuels : la CNIL définit des thématiques impactant fortement les données personnelles.
Comment se passe un contrôle de la CNIL ?
Différentes formes de contrôle existent :
- audition sur convocation : le responsable du traitement ou le sous-traitant en charge ainsi que des représentants de l'organisme sont convoqués dans les locaux de la CNIL pour répondre à des questions et si besoin donner accès à leurs données informatiques ;
- contrôle sur site : une délégation de la CNIL se rend dans les locaux de l'organisme contrôlé ;
- contrôle documentaire : l'organisme contrôlé répond à un questionnaire et fournit les documents étayant ses dires ;
- contrôle en ligne : la CNIL procède à des contrôles basés sur les possibilités d'accès libre aux données.
Quelles sont les suites après un contrôle de la CNIL ?
La CNIL établit un procès-verbal du contrôle regroupant les informations recueillies et les constatations réalisées. Il contient également en annexe les documents copiés lors du contrôle. Ensuite, la Commission examine ce procès-verbal et vérifie si les données sensibles sont traitées dans le respect des dispositions du RGPD :
- sans observations particulières, le contrôle est clos avec une lettre adressée au Président de la CNIL ;
- si les manquements sont peu importants, le contrôle s'achève par une lettre au Président de la CNIL accompagnée d'observations ;
- si les manquements sont conséquents, la CNIL peut émettre une mise en demeure pour mise en conformité et/ou prononcer des sanctions conformément à la Loi Informatique et Libertés ;
- un non-respect des injonctions ou une absence de réponse à la mise en demeure peut amener à une dénonciation au Parquet.
03. Les sanctions pour non-respect des règles relatives aux DSCP
Le non-respect du RGPD
Les sanctions dépendent de la gravité, la nature et la durée de la violation de la réglementation.
Une amende pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entreprises peut être appliquée dans les cas de manquement aux obligations de la part :
- du responsable du traitement ;
- du sous-traitant en charge du traitement ;
- de l'organisme certificateur ;
- de l'organisme suivant les règles de conduite.
Une amende pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial dans le cas des entreprises peut être infligée si un manquement est constaté vis-à-vis d'une de ces obligations :
- le respect des droits des personnes concernées par les données sensibles ;
- l'obligation d'obtention du consentement des patients avant de collecter, traiter ou conserver leurs informations personnelles ;
- le transfert des données vers une organisation internationale ou un pays tiers ;
- le refus de respecter un ordre donné par une autorité de contrôle concernant une limitation du traitement ou un arrêt des flux d'informations ;
- le respect des obligations qui découlent de la législation des États membres de l'UE.
Le non-respect des règles spécifiques relatives aux DSCP
Le Code de la Santé Publique prévoit des sanctions pénales (articles 1115-1 et 1115-2) dans le cas où l'hébergement des DSCP est confié à une société ni agréée HADS ni certifiée HDS :
- 3 ans de prison et une amende de 45 000 euros ;
- placement sous surveillance juridique pour 5 ans ou plus ;
- exclusion des marchés publics pour 5 ans ou plus voire de manière définitive ;
- interdiction pour 5 ans ou plus d'exercer certaines activités sociales ou professionnelles ;
- fermeture pour 5 ans ou plus ou de manière définitive des établissements impliqués.
Les tentatives de contournements
Un établissement de santé peut légalement héberger ses propres dossiers sans avoir de certification. Par contre, s'il utilise ses propres infrastructures pour héberger les DSCP d'autres institutions, il est considéré comme un hébergeur et doit donc être certifié HDS.
Il peut y avoir une autre tentative de contournement de la loi : les montages juridiques visant à passer outre l'obligation de certification HDS. Par exemple, certaines personnes déclarent passer des contrats de bail au lieu de contrats d'hébergement. De toute façon, du moment que ce sont bien des DSCP qui sont conservées, l'obligation de certification HDS demeure, indépendamment de l'appellation du contrat.
04. La certification HDS pour l'hébergement des données de santé
Si vous souhaitez confier la conservation de vos données sensibles à un prestataire, vous êtes légalement obligés de choisir un sous-traitant possédant soit l'agrément HADS (Hébergeur Agréé des Données de Santé), soit la certification HDS (Hébergeur de Données de Santé). L'agrément HADS n'est plus attribué depuis la mise en place de la certification HDS en 2018.
Cependant, comme il est valide pendant 3 ans, les sociétés agréées HADS sont autorisées à poursuivre leurs activités jusqu'à expiration de leur agrément. Ensuite, elles doivent obligatoirement passer la certification HDS.
La certification HDS est une norme internationale plus restrictive que l'agrément HADS, applicable uniquement en France. Elle repose sur des standards internationaux tels que les normes ISO 27001, ISO 27018 et ISO 20000 ainsi que sur des critères spécifiques aux données de santé. Avec l'instauration de cette certification, les informations sensibles que sont les DSCP sont encore mieux protégées.
Pour assurer de l'entière transparence de ce processus de certification, il est réalisé par des organismes certificateurs indépendants. La liste des sociétés certifiées HDS est disponible sur le site de l'Agence du Numérique en Santé.
Afin de protéger suffisamment les données de santé, qui sont des informations hautement sensibles, les agences gouvernementales dont la CNIL, peuvent s'appuyer sur de nombreuses lois. Le traitement et la conservation des DSCP sont donc fortement encadrés, notamment avec la mise en place de la nouvelle certification HDS. Tout manquement aux obligations légales peut faire l'objet de sanctions conséquentes.
Vous souhaitez découvrir davantage sur l'hébergement de données de santé ? Écoutez notre podcast ! Notre expert Gauthier Thomas vous en dit plus sur la certification HDS ! Vous pouvez également consulter notre article spécialisé.
Ces articles pourraient vous intéresser
20/08/2020
Tout savoir sur l'hébergement de données de santé ou HDS
Découvrir
16/09/2020
Les règles à connaître concernant l'hébergement de données de santé
Découvrir