00:09On commence tout de suite ce Lex Inside et on va parler de la fuite des données de santé.
00:15Quels sont les enjeux juridiques ? On en parle avec mon invité Sonia Sissé, avocate associée au sein du cabinet
00:21Linkletters.
00:22Sonia Sissé, bonjour.
00:23Bonjour Arnaud.
00:24Avant d'entrer dans le cadre juridique, c'est bien de savoir ce dont on parle.
00:30Qu'entend-on vraiment quand on parle de données de santé ? De quoi s'agit-il ?
00:35En fait, les données de santé, ce sont des données qui se rapportent à l'état de santé physique ou
00:43mentale d'une personne.
00:44Alors, il y a évidemment un nombre de données de santé que l'on comprend tout de suite,
00:49du type les ordonnances, les résultats médicaux, le dossier médical d'un individu.
00:55Mais il y a également des données de santé qui sont un peu plus, je dirais, subtiles,
01:02du type, par exemple, les applications de suivi du sommeil ou encore l'affiliation à une mutuelle spécialisée dans un
01:11certain type de pathologie.
01:14Et donc, ces données, elles ont, bien entendu, des spécificités,
01:20puisque tout traitement de ces données pourrait, malheureusement, dans certains cas, donner lieu à des conséquences négatives,
01:28du type discrimination à l'embauche, discrimination au droit à l'assurance.
01:33Il pourrait également y avoir, dans des cas très particuliers, du chantage.
01:39Et par conséquent, ces données, le règlement de protection des données,
01:45le règlement général de protection des données, leur donne un caractère dit sensible
01:50et vient les protéger d'une façon beaucoup plus importante que des données dites standards,
01:57au même titre que d'autres données du type l'appartenance ethnique, les convictions religieuses ou l'orientation sexuelle.
02:03C'est pour ça qu'elles occupent une place à part ?
02:06Absolument. Il y a un caractère très intime à la donnée de santé.
02:10C'est quelque chose qu'on ne peut pas changer, bien entendu.
02:13Vous changez d'adresse, vous changez de numéro de téléphone,
02:15mais par exemple, votre groupe sanguin, c'est quelque chose qui vous appartient pleinement,
02:18qui vous correspond et donc qui, tout de suite, fait un aspect très sensibilité,
02:28qui joue sur la sensibilité des individus et donc qui nécessite une protection particulière.
02:33Alors, vous l'avez dit, ces données de santé sont des données sensibles.
02:37Quel est le cadre juridique applicable à ces données de santé ?
02:40Alors, il est très clair, notamment avec, comme je le disais,
02:44le règlement général sur la protection des données,
02:46qui vient, par principe, interdire le traitement de ces données,
02:50sauf dans des circonstances très particulières.
02:52Ces circonstances, c'est, par exemple, le consentement explicite de la personne,
02:57la nécessité de prodiguer des soins médicaux,
03:00il va également y avoir les obligations de recherche et développement,
03:05ou encore l'intérêt public, dans le cadre d'un secteur de santé publique,
03:11où on peut, bien évidemment, traiter ces données de santé.
03:15Et puis, en France, il faut ajouter au règlement général sur la protection des données
03:20la loi informatique et liberté, qui vient également encadrer le traitement de ces données dites sensibles.
03:28Et puis, il y a aussi un point très important en France,
03:33c'est, bien entendu, c'est l'hébergement de ces données,
03:36puisqu'il y a une certification dite HGS, hébergement de données de santé,
03:43qui nécessite que ces données ne soient hébergées que par des prestataires
03:47qui ont reçu une accréditation spécifique.
03:51Et, bien entendu, il y a également d'autres référentiels,
03:54ceux de la CNIL et ceux également de l'Agence du numérique de santé.
04:00Donc, on voit qu'il y a un cadre juridique très strict.
04:03On va s'intéresser maintenant à la fuite de données.
04:07Qu'est-ce qu'une fuite, une violation de données au sens du RGPD ?
04:11Exactement. Alors, c'est effectivement le RGPD qui nous a donné une définition précise.
04:16Une violation de données au sens du règlement,
04:19c'est tout simplement un incident de sécurité
04:23qui entraîne de manière illicite ou accidentelle
04:26la destruction, la perte, l'altération, l'accès non autorisé
04:32ou la divulgation non autorisée à des données à caractère personnel.
04:36Ça, c'est la définition de la violation de données.
04:39Et, évidemment, c'est une définition large
04:44qui donne, en pratique, un champ assez vaste, malheureusement, d'incidents.
04:54Donc, on pense tout de suite, bien entendu, aux cyberattaques par un changement logiciel.
04:58Donc, les cyberattaquants qui s'infiltrent sur un système
05:01pour avoir accès à des données à caractère personnel
05:04y incluent des données de santé.
05:06Il y a également, bien entendu, tout simplement l'erreur humaine.
05:09C'est-à-dire qu'une personne envoie un e-mail contenant des données
05:12à caractère personnel à un mauvais destinataire.
05:16Et puis, il y a également, encore une fois, en termes d'erreur humaine,
05:19ça peut être un oubli d'un ordinateur non chiffré,
05:22par exemple dans le train, dans le métro.
05:25Alors, il y a de multiples exemples de fuites de données,
05:28d'hôpitaux, d'applications qui hébergent un certain nombre de données de santé.
05:34Comment on définit la responsabilité des acteurs
05:37quand un événement important, comme une fuite de données de santé, arrive ?
05:41Alors, cette responsabilité, elle est encore une fois apportée par le Règlement général
05:46sur la protection des données.
05:48Elle est simple.
05:49Elle prévoit deux types d'acteurs.
05:51Vous avez notamment le responsable de traitement.
05:54Donc, c'est celui qui définit les moyens et les finalités du traitement.
05:58À partir de là, ce responsable de traitement, pardon,
06:01on va être sur, par exemple, les hôpitaux,
06:04les start-up qui traitent justement ces données de santé.
06:08On va être sur les médecins.
06:11Et donc, ces personnes-là,
06:13elles ont une responsabilité pleine entière au regard du Règlement européen.
06:17Mais il y a également maintenant les sous-traitants.
06:18Et les sous-traitants, ça va être les hébergeurs cloud, par exemple,
06:22qui hébergent les données.
06:23Ça va être toutes les sociétés de prestataires informatiques
06:29qui, par exemple, mettent des logiciels de santé
06:32à disposition, justement, des hôpitaux, des médecins.
06:36Donc, il y a une vraie chaîne de responsabilité.
06:38Est-ce qu'il y a des niveaux de responsabilité
06:40selon où on se place dans cette chaîne ?
06:42Eh bien, oui et non.
06:43Oui, parce que, évidemment,
06:46dans le cadre d'un traitement,
06:48notamment de données de santé,
06:49les regards se tournent tout de suite
06:51vers les responsables de traitement.
06:53Toutefois, le Règlement européen
06:54a introduit une responsabilité forte
06:57également des sous-traitants
06:58qui ne peuvent plus juste se retourner,
07:00en tout cas se cacher derrière les responsables de traitement.
07:03Ils sont responsables à part entière.
07:05Ils ont des obligations strictes
07:07et doivent les respecter,
07:08sans quoi leur responsabilité peut également être recherchée.
07:11Alors, dans ce cas d'un événement
07:13comme une fuite de données,
07:14c'est quoi les premières actions à mener,
07:16les premiers réflexes à avoir ?
07:18Alors, il y a des obligations de notification,
07:21notamment auprès de la CNIL,
07:22donc la Commission nationale de l'informatique et des libertés.
07:27Ces premières actions,
07:28elles doivent intervenir dans un délai très court.
07:31C'est 72 heures après avoir pris connaissance
07:33de la violation de données,
07:35non pas après l'avoir remédié,
07:36mais tout de suite après la prise de connaissance.
07:38Il faut remonter des informations à la CNIL,
07:41du type la nature de la violation,
07:44enfin de l'incident de sécurité,
07:46la nature,
07:47les catégories de données à caractère personnel concerné,
07:51lui indiquer qu'il y a des données de santé,
07:53typiquement,
07:54le nombre de personnes concernées,
07:56de combien de personnes on parle,
07:59de personnes concernées on parle,
08:02et bien entendu les mesures de sécurité
08:04qui avaient été mises en place avant l'incident
08:06et qu'on envisage de mettre en place
08:08pour remédier à cet incident.
08:09Et puis,
08:10quand il y a des risques pour les libertés des individus,
08:13les droits et libertés des individus,
08:15il y a l'obligation de communiquer
08:17sur cette violation de données
08:19de façon transparente et claire
08:20pour que les personnes
08:22dont les données ont été affectées
08:26en aient pleinement connaissance.
08:28On va conclure là-dessus.
08:30Merci Sonia Cissé.
08:32Je rappelle que vous êtes associée
08:33au sein du cabinet Linkletters.
08:35Merci Arnaud.
08:36Tout de suite,
08:37on change de domaine.
08:38On va parler de la loi
08:39sur l'organisation des Jeux olympiques
08:41et paralympiques 2030.
08:43Sous-titrage Société Radio-Canada
08:44Sous-titrage Société Radio-Canada
Commentaires