L'intervention d'un prestataire sur les données du SI obéit à des règles
La récente mise en demeure d'un centre hospitalier par la CNIL vient rappeler quelques règles sur l'accès aux données personnelles contenues dans un système d'information par des prestataires.
PublicitéL'enfer est pavé de bonnes intentions dit-on. La difficulté pour une entreprise de respecter toutes les réglementations qui régissent son activité peut fournir une illustration au proverbe.
Pour respecter ses obligations au titre du code de la santé publique, le Centre hospitalier de Saint-Malo a manqué au respect de la loi Informatique et Libertés du 6 janvier 1978. C'est du moins ce que considère la Commission Nationale de l'Informatique et des Libertés (Cnil). La mise en demeure adressée le 25 septembre 2013 par la Cnil au Centre hospitalier rappelle qu'une vigilance toute particulière s'impose lorsqu'un tiers intervient sur les données de production d'un système d'information.
Les contraintes légales de l'informatique médicale
Les établissements de santé publics et privés sont soumis à de nombreuses réglementations relatives à leur système d'information, la plupart contenues dans le code de la santé publique. Parmi ces obligations figurent celles d'avoir à procéder à l'analyse de leur activité sur la base des données figurant dans le dossier médical des patients, que ce dossier soit papier ou informatisé.
L'analyse de l'activité s'opère après le codage des actes médicaux dispensés dans l'établissement selon une nomenclature fixée par arrêté. Les résultats de cette analyse sont transmis aux autorités de tutelle. Ces résultats concourent à déterminer le montant du financement de l'établissement par les pouvoirs publics. Dès lors, un enjeu tout particulier s'attache à la qualité des traitements informatiques qui sont opérés sur les données médicales ainsi codées.
Il n'est pas surprenant que les établissements de santé aient eu recours à l'aide de prestataires extérieurs pour assurer le travail de codification des données. Il s'avère que la qualité de l'analyse nécessaire à cette codification influe de manière significative sur les résultats produits et donc, in fine, sur la dotation financière des établissements.
Le contrôle de la Cnil
L'article R6113-3 du code de la santé publique prévoit que les traitements de données nominatives dans chaque établissement de santé font l'objet, avant leur mise en oeuvre, d'une demande d'avis ou d'une déclaration préalable auprès de la Cnil.
C'est justement les conditions dans lesquelles le prestataire est intervenu pour assurer le travail de codification des données qui ont fait l'objet d'un contrôle sur place par la Cnil.
La Cnil a constaté, dans les locaux du Centre hospitalier de Saint-Malo, que le prestataire en question, pour la réalisation de sa mission, s'était vu ouvrir un accès à l'application métier de l'hôpital qui gère les dossiers des patients, avec les mêmes droits que le médecin responsable de l'informatique médicale. Cet accès permettait donc la prise de connaissance des informations médicales des patients. En outre, un accès aux dossiers papier archivés était également fourni au prestataire.
PublicitéC'est une vue de l'esprit de considérer que seuls des médecins puissent avoir accès aux données de santé de leurs patients. Chacun le sait, la secrétaire d'un médecin accède au dossier des patients du cabinet dans lequel elle travaille.
La réglementation elle-même tient compte de cette réalité. L'article R6113-5 du code de la santé publique prévoit que les personnels placés ou détachés auprès des médecins et qui travaillent à l'exploitation de données nominatives sous leur autorité, ainsi que des personnels intervenant sur le matériel et les logiciels utilisés pour le recueil et le traitement des données sont soumis au secret professionnel.
Le texte prend donc bien en compte la nécessité pour des personnes autres que des médecins de prendre connaissance des données de patients. Le texte assure une protection juridique dans la mesure où ces personnes sont soumises au secret professionnel, dont la violation est punie conformément aux articles 226-13 et 226-14 du code pénal.
Le Centre hospitalier de Saint-Malo avait pris soin, dans le contrat avec son prestataire de services, de stipuler une clause de confidentialité applicable aux personnels de la société prestataire.
Mais la Cnil considère que ces personnels ne sont pas placés « sous l'autorité du médecin » responsable du département information médical. Elle en conclut à la violation du texte, laquelle provoque, pour ainsi dire « par ricochet » une violation de l'article 34 de la loi du 6 janvier 1978. Nous reviendrons sur cet article. La Cnil met donc en demeure le Centre hospitalier de Saint-Malo de rendre inaccessible à des tiers les données patients. Elle prend en outre la décision de publier cette mise en demeure sur son site web.
La décision de la Cnil interroge à plusieurs niveaux.
Le mythe de l'insécurité des données personnelles
Le mythe de l'insécurité des données personnelles
Sur le fond, la lecture que fait la Cnil de l'article R6113-5 du code de la santé publique n'est pas sans contestation possible.
Le texte est le suivant : « Les médecins chargés de la collecte des données médicales nominatives ou du traitement des fichiers comportant de telles données sont soumis à l'obligation de secret dont la méconnaissance est punie conformément aux articles 226-13 et 226-14 du code pénal. Il en est de même des personnels placés ou détachés auprès de ces médecins et qui travaillent à l'exploitation de données nominatives sous leur autorité, ainsi que des personnels intervenant sur le matériel et les logiciels utilisés pour le recueil et le traitement des données. »
L'article ne prévoit pas que les « personnels intervenant sur le matériel et les logiciels utilisés pour le recueil et le traitement des données » doivent être placés sous l'autorité d'un médecin. Cette mention ne figurant pas dans le dernier membre de la phrase, on peut douter qu'elle s'applique aux personnels visés en dernier lieu par l'article.
En outre, la Cnil se fonde, pour prononcer sa sanction, sur l'article 34 de la loi Informatique et Libertés du 6 janvier 1978. Cet article est formulé de manière très générale, ce qui permet à la Cnil de prononcer des sanctions sur la base d'une appréciation très large des faits dont elle se saisit.
L'article 34 est ainsi formulé : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. » Il ne prévoit rien d'autre qu'une obligation pour le responsable du traitement de prendre « des précautions utiles » pour que des tiers « non autorisés » ne puissent avoir accès aux données.
Les « précautions utiles » avaient-elle été prises par le Centre hospitalier de Saint-Malo ? Non selon la Cnil. Quelles auraient dû être les précautions à prendre pour permettre l'assistance technique dont l'hôpital avait besoin ? La Cnil ne le dit pas. On peut penser qu'il aurait dû procéder à l'anonymisation des données avant l'intervention du tiers. Mais qu'en est-il si ce processus d'anonymisation requiert des compétences dont l'hôpital ne dispose pas en interne ? En outre, pourquoi considérer que l'accès aux données personnelles par un salarié soit de nature à en garantir la confidentialité et qu'il n'en serait pas de même lorsqu'il s'agit d'un tiers soumis à une obligation contractuelle de confidentialité ?
Les enseignements au-delà du cas d'espèce
Les enseignements au-delà du cas d'espèce
La Cnil ne se contente pas de sanctionner des atteintes avérées à la sécurité des données personnelles. Elle sanctionne également sur la base d'atteintes potentielles à cette sécurité.
Or, de nombreux tiers sont susceptibles d'intervenir sur les données personnelles figurant dans le système d'information d'une entreprise, tels que ceux assurant la tierce maintenance applicative ou hébergeant les données de production.
Le cas d'espèce nous apprend que, dans certaines circonstances, notamment lorsque des données sensibles sont concernées, comme des données de santé, soumettre les personnels en question à une obligation contractuelle de confidentialité peut ne pas être suffisant pour la Cnil. D'autres précautions doivent être prises avant qu'un tiers puisse prendre connaissance, même dans le cadre de sa mission, des données personnelles figurant dans le système d'information d'une entreprise ou d'un établissement public.
Article rédigé par
Etienne Papin, Avocat associé du cabinet Feral-Schuhl / Sainte-Marie
Avocat au Barreau de Paris, Etienne Papin exerce dans les domaines du droit de l'informatique, de l'internet et des médias. Il conseille des SSII, éditeurs de logiciels, grandes entreprises et personnes publiques pour la rédaction et la négociation de leurs contrats informatiques. Il assiste également ces entreprises lors de procédures judiciaires. Il est associé du cabinet Feral-Schuhl / Sainte-Marie.
Suivez l'auteur sur Google+, Linked In, Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire