Le plan stratégique 2025-2028 

La CNIL a récemment présenté son plan stratégique pour la période 2025-2028, qui se concentre sur quatre axes principaux :

• Régulation de l’intelligence artificielle : la CNIL met ici en garde contre l’accroissement des contenus malveillants ou trompeurs générés à l’aide de l’IA générative comme les cas d’hypertrucages de la voix ou de détournement de l’image des personnes (ex : Affaire du « Faux Brad Pitt » qui a alimenté l’actualité des dernières semaines).

La CNIL insiste également sur l’importance de la transparence et de l’explicabilité des systèmes d’IA, en veillant à leur conformité avec le RGPD, et ce, alors que nous constatons une véritable montée en puissance des applications d’IA dans des secteurs critiques, comme celui de la santé, où des décisions algorithmiques mal encadrées peuvent affecter les droits fondamentaux des personnes concernées.

L’ensemble des établissements de santé qui utilisent de l’IA, qu’elle soit générative, ou bien embarquée dans des dispositifs médicaux numériques seront donc concernés par les évolutions règlementaires en matière d’IA.

• Protection renforcée des mineurs : Face à l’augmentation de la présence des mineurs sur des plateformes en ligne collectant massivement des données et les exposant aux risques de cyberharcèlement, de violation de leur vie privée ou d’exposition à des contenus inadaptés, la CNIL entend renforcer ses contrôles réalisés auprès des opérateurs proposant des services en ligne au public mineur. À ce titre, la CNIL annonce l’organisation de contrôles conjoints avec ses homologues européens, témoignant de l’importance du sujet dont elle entend se saisir.

Vigilance donc pour les établissements de santé et du médico-social prenant en charge des mineurs.

• Cybersécurité : La CNIL appelle à des standards de sécurité plus élevés pour faire face à la multiplication et l’évolution des cyberattaques, lesquelles sont de plus en plus sophistiquées. La CNIL annonce l’élaboration de ressources pédagogiques pour accompagner tous les acteurs concernés (TPE/ PME, grandes entreprises, collectivités locales, individus). De même, la CNIL annonce aussi un renforcement de ses opérations de contrôle à l’issue de violations de données pour vérifier la mise en œuvre de mesures correctives adaptées.

Les nombreuses cyberattaques récentes ciblant des hôpitaux et des infrastructures critiques illustrent la nécessité de protéger efficacement les systèmes et les données personnelles de santé réputées « sensibles » au sens du RGPD (ex : le CH Sud Francilien victime d’un ransomware en août 2022 par le groupe Lockbit qui exigeait le paiement d’une rançon de 10 millions de dollars).

Pour rappel, l’ANSSI avait dressé au mois de novembre 2024 un état des lieux de la menace informatique pesant sur le secteur de la santé, lequel relevait notamment que l’interconnexion et l’interdépendance des solutions déployées au sein d’un système de santé constituait une caractéristique propre à ce secteur qui contribuait à renforcer son exposition à des cyberattaques.

Vigilance et proactivité des acteurs de la santé sont donc attendues dans l’élaboration et la mise en œuvre de mesures de sécurité techniques et organisationnelles adaptées au niveau de risque inhérent à leurs activités, et ce, alors que le rapport de la Cour des comptes publié le 14 octobre 2024 relatif à la sécurité informatique des établissements de santé appel à un renforcement des actions de cybersécurités mises en œuvres par les établissements de santé face à la multiplication des cyberattaques

• Usage du quotidien numérique : La CNIL se concentre ici sur l’usage des applications mobiles et l’identité numérique des français. À ce titre, la CNIL évoque notamment la poursuite des travaux initiés dans le cadre de ses recommandations relatives aux applications mobiles, le développement de solutions de vérification en ligne de l’identité et de l’âge des internautes, ainsi que des opérations de contrôle des modalités de mise en œuvre des services d’identité numérique auprès des acteurs publics et privés. 

Ainsi, à l’aune des axes déterminés par la CNIL dans le développement de sa stratégie des prochaines années, le développement de l’IA constitue à n’en pas douter l’un des enjeux majeurs de ces prochaines années pour les acteurs de la santé, qui devront plus que jamais se positionner rapidement sur le cadre qu’il souhaite établir dans leurs activités auprès de leurs personnels sur l’utilisation de cet outil.

Les établissements de santé sont ainsi appelés à répondre aux défis de la transformation numérique avec l’arrivée de l’IA impactant l’ensemble de leurs services (administratif, prise en charge et suivi du patient, communication, etc…), et ce, tout en garantissant la protection des données sensibles collectées dans le cadre de leurs activités.

Les établissements de santé et medico-sociaux devront également être particulièrement vigilants au respect de ces éléments lors de la contractualisation avec des prestataires, et s’assurer, à ce titre, que les critères de sélection soient préalablement et correctement définis.

Réutilisation des bases de données : exigences de conformité

La réutilisation des bases de données à caractère personnel librement mise à disposition en ligne (open data), fournies par des tiers (courtier en données, data broker), ou encore internes à la structure du responsable de traitement soulève des questions essentielles en matière de conformité au RGPD, notamment dans certains secteurs d’activités, comme celui de la recherche scientifique.

En effet, bien souvent, les établissements de santé s’interrogent sur les modalités de réutilisation de leur base de données issue de leur logiciel métier de gestion des dossiers patients informatisés (« DPI ») à d’autres fins que celles pour lesquelles les données des patients ont été initialement collectées, dans le cadre de la réalisation d’études scientifiques.

La CNIL rappelle ainsi les différents points de vérification devant être mis en œuvre par le réutilisateur de données, et rappelle notamment l’importance de veiller à ce que l’origine des données soit suffisamment documentée.

De même, la CNIL rappelle également l’importance d’analyser et de documenter en interne les traitements mis en œuvre dans le cadre d’une réutilisation de données personnelles (ex : le registre des activités de traitement – Article 30 du RGPD), et recommande d’intégrer une analyse de la conformité de la réutilisation des données au sein d’une analyse d’impact relative à la protection des données (« AIPD »), notamment lorsque les données personnelles concernées sont sensibles au sens de l’article 9 du RGPD, telles que des données de santé.

Enfin, la CNIL recommande la conclusion d’un accord entre le détenteur initial des données et le réutilisateur des données afin de s’assurer que la réutilisation des données soit licite. Selon la CNIL, cet accord devrait contenir à minima un certain nombre d’indications, telles que la source, le contexte de la collecte des données, la base légale du traitement et l’analyse d’impact relative la protection des données si celle-ci existe et est nécessaire, afin d’écarter les risques d’avoir une base de données illicite.

Ces recommandations de la CNIL rappellent donc l’importance pour les acteurs de la santé à faire preuve de vigilance sur la réutilisation de données personnelles, que ce soit celles librement accessibles en ligne, (à titre d’illustration : pour la constitution d’un annuaire de professionnels de santé exerçant sur un territoire donné), ou encore celles collectées en interne dans le cadre de la prise en charge du patient pour être réutilisées à des fins de recherches scientifiques.

Certification RGPD des sous-traitants : vers une harmonisation des pratiques 

Après avoir travaillé sur les méthodologies et référentiels en matière de données de santé, la CNIL a lancé une consultation publique sur un projet de référentiel d’évaluation pour la certification RGPD des sous-traitants.

Ce référentiel permet de délivrer une certification, d’une validité de trois ans renouvelable, attestant que les sous-traitants respectent des normes de protection des données en lien avec le secteur d’activité dans lequel celui-intervient. Cette certification sera délivrée par des organismes agréés et portera uniquement sur les services certifiés, et non sur l’ensemble des activités du prestataire.

Le projet, structuré autour de 90 points, couvre quatre étapes clés dans les relations contractuelles du responsable de traitement avec son sous-traitant : contractualisation, préparation de l’environnement, mise en œuvre et fin du traitement.

Pour les établissements de santé, ce référentiel présente des avantages, notamment:

• Renforcement de la sécurité des données sensibles : Le recours à des sous-traitants certifiés RGPD garantirait une gestion plus rigoureuse des informations médicales et administratives.

De plus, l’absence d’harmonisation européenne sous l’égide du CEPD pourrait limiter la portée de cette initiative dans les projets transnationaux.

Malgré ces limites, la certification RGPD des sous-traitants constitue une avancée importante, offrant aux établissements de santé un outil intéressant pour sécuriser leurs partenariats et responsabiliser leurs prestataires.

La consultation a pris fin le 28 janvier dernier. Il reste donc à attendre les retours de la CNIL à ce sujet.

Le vote par correspondance électronique : Nouvelle consultation  

La CNIL met à jour ses recommandations relatives les systèmes de vote par correspondance électronique (SVE) élaborées en 2019 afin de suivre l’évolution des technologies et des usages en la matière.

L’objectif poursuivi par ces recommandations est celui de définir les objectifs de sécurité minimaux que doivent atteindre tout dispositif de vote par correspondance électronique.

Le projet de guide identifie 3 niveaux de risque différents auxquels sont associés des objectifs de sécurité. Ces objectifs sont cumulables entre eux, ainsi, les niveaux de risque 2 et 3 ajoutent de nouveaux objectifs complétant les objectifs du ou des niveaux précédents.

L’ensemble des parties prenantes concernées par des scrutins, tels que les organismes recourant au vote par correspondance électronique, les fournisseurs de solutions, les experts indépendants, les chercheurs, les bureaux de vote, les candidats et les électeurs sont invités à prendre part à cette consultation qui prendra fin le 28 février prochain, notamment les services RH, ou les CSE d’établissements de santé qui auraient recours à ces outils.

Fruit d’une collaboration avec l’Agence nationale de la sécurité des systèmes d’information (ANSSI), la mise à jour de ces recommandations sera également accompagnée d’un guide de l’ANSSI apportant des précisions complémentaires. 

Ainsi, les établissements de santé et médico-sociaux doivent se préparer activement aux défis de la transformation numérique en 2025. Face à des enjeux tels que l’intégration de l’intelligence artificielle, la sécurisation des données sensibles, la conformité réglementaire et l’adoption de nouvelles pratiques numériques, ils sont appelés à jouer un rôle essentiel dans la mise en œuvre de solutions de traitement de données personnelles des patients et résidents qui soient à la fois éthiques et sécurisées.

Ces initiatives de la CNIL offrent des outils pour renforcer la confiance des usagers et assurer la protection des données personnelles dans un environnement technologique en constante évolution. Elles apportent également des précisions sur les obligations de mise en conformité aux réglementations en vigueur et aux standards techniques actuels, dont le non-respect peut entraîner des sanctions de la CNIL.

Les établissements de santé et médico-sociaux devront ainsi conjuguer innovation et conformité pour répondre aux attentes croissantes des patients, des professionnels et des régulateurs.

Pour consulter les différentes communications de la CNIL :

• Plan Stratégique 2025-2028;
• Réutilisation de bases de données ;
• Certification RGPD des sous-traitants ;
• Vote par correspondance électronique.