La Cnil s’est prononcé sur le sujet : Lorsque les administrateurs informatiques ont accès aux données de santé, le chiffrage de ces données perd son caractère « fort ».
Dans cette affaire, une société a émis une demande d’avis auprès de la Cnil concernant la mise en œuvre de son traitement de données de santé. La sécurité des données de santé passait par un chiffrement fort de l’ensemble des données de santé hébergées. Pour la Cnil, ce procédé de sécurité des données de santé a été un élément clé pour un avis favorable à ce traitement. La société a ainsi par la suite pu obtenir un agrément du ministère de la santé.
Mais la Cnil a réalisé un contrôle sur place et elle a constaté que la sécurité des données de santé n’était pas respectée :
« les données médicales n’étaient pas chiffrées et elles étaient accessibles aux administrateurs informatiques de la société et non pas exclusivement au personnel de santé habilité. »
On comprend donc qu’en matière de données de santé, on ne peut pas considérer comme « fort » un chiffrage uniquement partiel des données de santé auxquelles les administrateurs informatiques ont accès. La Cnil en a conclu que :
« En prétendant chiffrer toutes les données médicales, ce qui s’était révélé inexact et mensonger, et en n’informant pas le Ministre de la santé d’un tel changement, la société n’avait pas respecté le code de la santé publique et traitait donc les données de manière illicite. »
Or le traitement illicite des données est une violation de l’article 6-1° de loi Informatique et libertés. Conformément à l’article 45 de cette même loi, le non-respect des obligations nées de la loi Informatique et libertés est susceptible de faire l’objet d’une sanction par la Cnil. C’est donc sur ce fondement que la Cnil a prononcé un avertissement contre cette société.
On pourra d’ores et déjà noter que si la société ne régularise pas la situation, la même société pourrait également faire l’objet :
d’une mise en demeure qui pourrait être publiée et ainsi porter gravement préjudice à son image.
de sanctions d’ordre pénal pouvant aller jusqu’à 5 ans de prison et 300 000€ d’amende.
A retenir :
Avant toute formalité déclarative auprès de la Cnil il convient de s’assurer que le traitement des données est conforme à ces déclarations.
En cas de changement de points significatifs de cette formalité, il faut faire une déclaration modificative.