C’est une première, la CNIL déclare avoir sanctionné une déclaration mensongère d’un hébergeur de données de santé.
| … La CNIL a prononcé un avertissement à l’encontre d’un hébergeur de données de santé, au sujet d’une déclaration mensongère contenue dans son dossier de demande d’agrément. La société prétendait chiffrer les données médicales hébergées, ce qui était inexact. Le code de la santé publique impose aux personnes physiques ou morales hébergeant des données de santé d’être agréées par le Ministre de la santé. La délivrance de l’agrément fait suite à un avis de la CNIL. Dans cet avis, la CNIL se prononce sur les garanties présentées par le candidat en matière de sécurité des données médicales traitées. En 2009, une société avait déclaré dans son dossier de candidature qu’elle chiffrait l’ensemble des données médicales hébergées, par un procédé dit de « chiffrage fort ». Cela constituait l’un des atouts de cette candidature et la société avait donc obtenu l’agrément du ministère de la santé en début 2010. Début 2011, la CNIL a réalisé un contrôle sur place. Elle a alors constaté que les données médicales n’étaient pas chiffrées et qu’elles étaient accessibles aux administrateurs informatiques de la société et non pas exclusivement au personnel de santé habilité. La société avait uniquement protégé certaines des données de santé par un codage créé en interne. La formation contentieuse de la Commission a considéré que le traitement de données personnelles était contraire à l’article 6-1° de loi « Informatique et Libertés » qui prévoit que les données doivent être traitées de manière licite. Elle a estimé que la société n’avait pas respecté le code de la santé publique. En effet, celui-ci impose d’une part, au candidat à l’agrément de mettre en œuvre une politique de sécurité assurant la confidentialité des données et leur protection contre les accès non autorisés et d’autre part, de prévenir le Ministre de la santé de tout changement affectant les informations fournies lors de la candidature. En prétendant chiffrer toutes les données médicales, ce qui s’était révélé inexact et mensonger, et en n’informant pas le Ministre de la santé d’un tel changement, la société n’avait pas respecté le code de la santé publique et traitait donc les données de manière illicite…. |
Cet hébergeur a été agréé « début 2010 ». Un contrôle sur site effectué par la CNIL un an plus tard découvre le pot aux roses. Contrairement à ses engagements, l’industriel ne chiffrait pas les données de santé archivées sur ses serveurs.
La sanction se résume à un gentil coup de règle sur les doigts. En effet c’est un simple avertissement.
Qui est le vilain canard de l’hébergement ?
Certains hébergeurs agréés n’aprécient pas la discrétion et la mansuétude de la CNIL.
Selon Gabriel Bourovitch, journaliste à Tic Santé « plusieurs hébergeurs agréés de données de santé à caractère personnel estiment que l’anonymat et le silence de la société sanctionnée par la Commission nationale de l’informatique et des libertés (Cnil) pour « déclaration mensongère » sont préjudiciables à toute la profession. »
On sait que la société fautive a été agréée début 2010. Voici la liste des six nominés :
H2AD agréé le 12 février 2010. Le siège social est à Saint-Jean-Bonnefonds. La société réalise un hébergement à distance sur deux sites dans le département de la Loire pour 15.000 patients.
IDS (Informatique De Sécurité), agréé le 12 février 2010.
CARESTREAM, agréé le 12 février 2010.
CEGEDIM agréé le 12 février 2010.
AAtlantide, agréé le 5 mars 2010.
Cerner agréé le 9 mars 2010
EMOSIST-FC, agréé le 26 avril 2010.
Gabriel Bourovitch et Vincent Granier (APM) ont posé la question aux 6 impétrants. Seule la société H2AD n’a pas souhaité communiquer sur ce bien délicat sujet !
L’AFHAPS (Association Française des Hébergeurs Agréés de Données de Santé à caractère Personnel) semble bien gênée aux entournures. C’est un de ses membres qui a été pris la main dans le sac. Dans un communiqué de presse elle conclue « Il ne s’agit pas ici de dédouaner un hébergeur, mais au contraire de souligner l’importance même de l’agrément et des modalités de contrôle qu’il prévoit. Toute communication qui conduirait à discréditer la démarche d’agrément ne serait pas un progrès. Au contraire, elle favoriserait les sociétés qui proposent actuellement des hébergements de données de santé hors de tout agrément et malheureusement hors de tout contrôle. »
Un mauvais coup pour la démocratie sanitaire
Le plus consternant dans l’histoire c’est que les patients dont les données de santé n’étaient pas hébergés dans des conditions optimales de sécurité, ne sont pas avertis ! Le nom du contrevenant reste confidentiel.
On peut s’étonner que le Conseil National de l’Ordre des Médecins, pourtant prolixe en déclarations d’intention sur la sécurité et la confidentialité des données de santé, n’ait pas exigé une grande transparence sur ce manquement !
Nul doute que cette calamiteuse gestion de l’affaire par la CNIL et l’ASIP Santé entraînera des séquelles. La confiance des français dans la e-santé et le Dossier Médical Personnel en sera certainement affectée !
Commentaires récents