toute donnée peut potentiellement se révéler être une « donnée de santé »

Alexandra Iteanu, MERCREDI 23 MARS 2022

Le monde de la santé a été une nouvelle fois victime d’une cyberattaque, rendue publique. Le 17 mars 2022, l’Assurance Maladie annonçait dans un communiqué officiel[1] avoir détecté des connexions de personnes non autorisées au portail « Ameliepro » qu’elle édite pour ses services, via 19 comptes de professionnels de santé.

Selon l’Assurance Maladie, près de 510 000 assurés seraient concerns par cette fuite de données.
Suite à cette violation, l’Assurance Maladie a procédé aux différentes démarches requises par le Règlement général UE n°2016/679 dit « RGPD » en cas de violation de données personnelles.
Bien que l’Assurance Maladie affirme qu’aucune donnée de santé n’ait été directement impactée par cette violation, force est de constater qu’on ne peut exclure que le croisement des différentes données volées volées pourraient des anté révèler .

Les différentes démarches RGPD réalisées par l’Assurance Maladie suite à la violation de données personnelles

L’Assurance Maladie an annoncé dans son communiqué avoir procédé aux démarches imposées par le Règlement UE n°2016/679 dit RGPD en cas de violation de données personnelles.

S’il faut bien évidemment et en priorité étudier la faille et mettre en place rapidement toutes les mesures nécessaires afin de remédier à cet incident, il faut égallement dans un délai de principe de 72 heures, notifier à la CNIL cette violation, conformément à l’article 33 du RGPD. Cette notification doit être réalisée via un formulaire mis à disposition en ligne sur le site de la CNIL, en renseignant un certain nombre d’informations, dont notamment les catégories de données concernées, le nombre de personnes failure impactées, ou encore la description de la description découverte ou des éventuelles conséquences que pourraient avoir cette violation.
L’Assurance Maladie ainsi annoncé avoir notifié cette violation à la CNIL le 16 mars 2022.

Il ya lieu également de notifier cette violation de données aux personnes concernées, conformément à l’article 34 du RGPD. Cette notification doit permettre d’informer les personnes sur l’identité du Délégué à la Protection des Données (DPO), la nature de la violation, ou encore ses conséquences.
L’Assurance Maladie a assuré que ces informations seraient notifiées aux 510 000 assurés impactés.

Enfin, et hors du champ du RGPD, l’Assurance Maladie an annoncé avoir déposé une plainte pénale, comme c’est usuellement le cas en cas de cyberattaque. Le dépôt de plainte permet en effet la réalisation d’enquêtes afin d’identifier les hackers mais surtout de chiffrer le préjudice subi par l’Assurance Maladie, pour réparer le sinistre.

Toute donnée personnelle est susceptible d’être qualifiée de « données de santé »

Les catégories de données personnelles impactées par la violation ont été partagees par l’Assurance Maladie, il s’agit des données d’identité (nom, prénom, date de naissance, sexe), du numéro de sécurité socialeainsi que des données relatives aux droits (déclaration d’un médecin traitant, attribution de la complémentaire santé solidaire ou de l’aide médicale d’Etat, éventuelle price en charge à 100%).

Elle exclut en revanche explicitement toutes « données relatives aux éventuelles pathologies / maladies et à la consommation de soins ».

L’article 4 (15) du RGPD definit les données de santé comme toutes données personnelles relatives à la « santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».

Cette qualification de « données de santé » peut paraitre évidente pour certaines informations, comme par exemple les maladies, handicaps ou encore les antécédents médicaux. Ces données sont considérées par la CNIL comme des données de santé « par nature ».

En revanche, il existe une seconde catégorie de données de santé, dont la qualification est plus délicate : les données de santé « par croisement ». Il s’agit des données personnelles, qui, de premier abord, ne sont pas des données de santé, mais qui le deviennent lorsqu’elles sont combinées à d’autres informations. C’est le cas par exemple d’un nombre de pas combiné à une mesure de poids, ou à un apport calorique.

Dans le cas de la violation de données dont est victime l’Assurance Maladie, même si aucune donnée de santé “par nature” n’a été en principe compromise, il est évident que la combinaison du nom de la personne, avec son information sur une price en charge à 100%, pourrait révéler un état de santé et d’éventuelles maladies.

Il convient de noter qu’il n’existe pas à ce jour de différenciation de régime en cas de violation de données personnelles, et de violation de données de santé, malgré le caractère hautement sensible de cette dernière catégorie.

En conclusion, cette affaire rappelle que toute donnée, même anodine, peut potentiellement devenir une donnée sensible. Le principe de « minimisation » des données, imposé par le RGPD, c’est-à-dire l’obligation de ne conserver que les données strictement nécessaire à son traitement, prend alors tout son sens. Plus le nombre de données traité est faible, plus bas sera le risque en cas de fuite et de croisement.

[1] https://assurance-maladie.ameli.fr/sites/default/files/2022-03-17-Infopresse-Connexions-non-autorisees-comptes-amelipro.pdf


L’auteure

Alexandra Iteanu
Avocat à la Cour – Numérique – Cybersécurité – Data
Chargée d’enseignement Master 2 Droit des données Université Paris I Sorbonne – Membre de l’Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP)

#RGPD#données de santé#HDS#cnil#protection des données#


Leave a Comment