La santé face au paradoxe de l’inflation réglementaire des données
Article rédigé le 25 septembre 2023 par Raphaël Cavan
Circulaire de la doctrine Cloud, avis de la CSNP sur la souveraineté numérique, projet de recommandation CNIL sur la gestion des traitements « critiques », DGA, référentiel HAS de certification… Voilà quelques-uns des récents textes venant complexifier le quotidien des établissements de santé et du médico-social en matière de gestion et de protection des données personnelles ou non-personnelles. Entre obligations et simples recommandations, les établissements de santé et du médico-social s’y perdent dans leurs démarches de mise en conformité, et ce, alors que les obligations posées par le RGPD ne sont pas encore pleinement assimilées.
A vouloir trop imposer d’obligations et de recommandations aux acteurs de la santé, la protection des données commencerait-elle à avoir un effet paradoxal ?
Les exigences en matière de gestion et de sécurité des données s’accentuent avec le temps au gré des textes et recommandations, complexifiant la visibilité des établissements de santé et médico-sociaux sur l’étendue de leurs obligations, à l’image du récent projet de recommandation de la CNIL sur les traitements « critiques ».
Ajoutons à cela la doctrine du gouvernement en matière de souveraineté numérique qui, bien que non-opposable aux établissements de santé et du médico-social, pourrait sur la base des recommandations de la CSNP formulées dans son avis rendu le 12 septembre dernier, rendre plus difficiles les rapports entretenus avec leurs prestataires si ces dernières étaient suivies.
Que ce soit en termes de gestion d’un traitement « critique », de cybersécurité, de moyens confiés au DPO, ou encore dans leurs rapports avec leurs prestataires, nous nous retrouvons aujourd’hui avec des acteurs de la santé de plus en plus démunis par l’ensemble de ces sujets.
Le projet de recommandation de la Commission Nationale Informatique et Libertés (« CNIL ») ouvert à la consultation depuis le mois d’août dernier propose d’adresser aux responsables de traitement « critique », des recommandations en matière de gestion et de protection des données à caractère personnel au sein de leur système informatique.
Qu’entend la CNIL exactement par traitement « critique » ? Bien que la définition ne soit pas ancrée dans le marbre, et soit amenée à évoluer au gré de la consultation, la CNIL identifie comme étant « critique », les « traitements automatisés de données à caractère personnel présentant des risques d’une ampleur particulièrement importante » ayant la particularité d’être caractérisés par deux critères cumulatifs :
- Le traitement est à grande échelle au sens du RGPD ;
- Une violation de données à caractère personnel pourrait soit entraîner des conséquences très importantes pour les personnes concernées, soit entraîner des conséquences pour la sûreté de l’État ou pour la société dans son ensemble (en raison de la perte de confidentialité, d’intégrité ou de disponibilité des données ou du traitement).
Comprenez que les traitements menés par les établissements de santé et du médico-social sont donc très probablement concernés par cette nouvelle recommandation qui tend nécessairement à alourdir la charge de la mise en conformité aux règles posées par le Règlement général sur la protection des données (ci-après « RGPD »).
En effet, le projet a pour objectif de renforcer la culture de la donnée au sein des structures en prévoyant des mesures permettant d’ancrer plus en profondeur dans leur quotidien une meilleure gouvernance de la donnée personnelle, et des processus encore plus exigeants que ceux prévus par le RGPD.
A titre d’illustration, nous retrouvons dans le cadre de la gestion de risques, une recommandation de mise à jour des analyses d’impact sur la vie privée (ou « AIPD ») au minimum une fois tous les 2 ans, ou en cas de changement substantiel important du traitement, de son contexte ou de la menace, là où le RGPD est muet sur ce point.
Est-ce que les établissements de santé et du médico-social sont déjà en conformité avec leur obligation de réaliser une AIPD comme le prévoit l’article 35 du RGPD, alors qu’une grande majorité de leurs traitements répondent aux critères posés par les lignes directrices du G29 ? La réponse laisse planer un malaise, et l’on peut se demander si la souplesse de la CNIL envers les établissements de santé et du médico-social dans les premières années de mise en œuvre du RGPD ne vont pas se payer aujourd’hui à trop vouloir renforcer des pratiques liées à la gestion et la protection des données personnelles qui ne sont pas encore totalement maîtrisées par ces acteurs.
Acteurs de la santé et du médico-social, vous avez jusqu’au 8 octobre 2023 pour prendre part à cette consultation et faire entendre votre voix auprès de la CNIL !
Une couche de sécurité supplémentaire
N’oublions pas également les obligations de sécurité qui s’imposent aux établissements de santé et du médico-social, récemment désignés opérateur de service essentiel (ou « OSE »), (notamment l’ensemble des établissements supports d’un GHT), ou opérateur d’importance vitale (ou « OIV »), au titre des prestations de soins qu’ils délivrent sur le territoire.
En effet, ces derniers devront se conformer aux dispositions de la directive « NIS 2 » en qualité d’entité essentielle (« EE »), lesquelles entreront en vigueur au cours de l’année 2024.
De quoi rajouter une couche importante en matière de sécurité et de prévention des risques, qui au vu du contexte des cyberattaques récurrentes auxquelles font face les hôpitaux est nécessaire, mais qui les contraints en matière de ressources à déployer en interne.
A titre d’illustration, nous pouvons évoquer l’obligation prévue par le Code de la santé publique (Article L1111-8-2 du code de la santé publique) qui incombe aux établissements de santé et du médico-social de signaler des incidents significatifs ou graves de sécurité des systèmes d’information, qui se cumulera avec celle prévue par la directive NIS 2, prévoyant une notification à un CSIRT (« Computer security incident response team » ou « Centres de réponse aux incidents de sécurité informatique ») en cas d’incident technique important (Article 23 de la Directive « NIS 2 »).
En parallèle, le projet de recommandation de la CNIL recommande aux responsables de traitements critiques d’adopter une démarche plus proactive en matière de gestion de la sécurité qu’elle considère comme étant « la pierre angulaire de l’obligation de sécurité ». Cette gestion se traduirait notamment par la réalisation d’un bilan annuel de sécurité, mais aussi par l’élaboration de critères permettant d’évaluer au quotidien le niveau de sécurité des mesures mises en œuvre.
L’occasion pour les établissements de santé et du médico-social de penser (ou repenser) leur stratégie en matière de sécurité informatique, et de se faire accompagner dans l’élaboration d’un plan d’actions cohérent par des experts de la donnée.
De même, la CNIL recommande la désignation d’une personne référente en matière de protection des données et de sécurité pour le traitement pour chaque traitement critique mené par l’organisme, laquelle serait chargée d’être l’interlocuteur privilégié du responsable de traitement, des équipes du DPO et du RSSI, mais aussi de la CNIL en cas de contrôle.
A noter que ce référent ne se substituera pas au rôle du DPO, ce dernier connaissant également un alourdissement de ses charges dans le cadre de l’exercice de ses fonctions depuis quelques années déjà.
Le soldat DPO en première ligne
Parlons-en d’ailleurs, la fonction de DPO connait au fil des textes intervenant dans la gestion et la protection des données un rôle de plus en plus important au sein des structures, et est naturellement de plus en plus sollicité dans le cadre de ses missions qui évoluent au gré des textes et des recommandations.
On constate notamment que le projet de recommandation de la CNIL souhaite impliquer d’avantage le DPO dans l’élaboration des traitements, et ce dès leur phase de conception en appliquant le principe de « Privacy by design ».
Par ailleurs, en matière de sensibilisation, le DPO devra à l’aune du projet de recommandation de la CNIL inculquer une véritable culture de la sécurité de l’information et de la protection des données à caractère personnel à travers le renforcement des actions de formation du personnel aux menaces et risques de sécurité visant les traitements critiques menés.
Enfin, dans une autre mesure, en matière de gouvernance des données, la cartographie des données collectées et exploitées en interne par le DPO ne se limitera plus à identifier les traitements de données à caractère personnel au sens du RGPD, mais devra permettre également d’identifier les données réutilisables au sens du Data governance Act (ci-après « DGA »), pouvant inclure des données non personnelles. A noter toutefois que ce rôle pourra être assumé par une personne distincte du DPO, appelée Data Governance Officer (ou « DGO »).
Au regard de l’implication de plus en plus importante du DPO, sommes-nous en train d’assister aux prémices des futurs contrôles CNIL sur les moyens qui lui sont accordés dans le cadre de la réalisation de ses missions ?
Une complexification à venir des relations avec les prestataires
La multiplication des textes et des exigences en matière de gestion et de protection des données à caractère personnel complique avec le temps les relations des établissements de santé et du médico-social avec leurs prestataires.
A titre d’exemple, la doctrine Cloud du gouvernement, dans sa version réactualisée par la circulaire n°604/SG en date du 31 mai 2023, qui tend à développer une culture Cloud au sein de l’Etat et de ses services, souhaite aujourd’hui compléter les exigences en matière d’hébergement de données de santé.
Bien que cette circulaire ne soit pas directement applicable aux établissements de santé et du médico-social, la Commission supérieure du numérique et des postes (« CSNP ») recommande que la circulaire leur soit opposable afin d’appuyer l’objectif du gouvernement visant à assurer la souveraineté numérique du pays (Avis de la CSNP N°2023-06 du 12 septembre 2023 sur la souveraineté numérique).
Ainsi, si les recommandations de la CSNP sont suivies, les établissements de santé et du médico-social risquent de voir leurs relations avec leurs prestataires se complexifier, notamment en matière de sélection du prestataire idéal répondant lui-même à l’ensemble des exigences juridiques et techniques qui lui sont opposables pour délivrer son service.
Dans cette hypothèse, les établissements de santé et du médico-social gagneraient à se faire accompagner par des professionnels du droit dans cette phase de sélection qui constitue également une phase de négociation cruciale pour la défense de leurs intérêts.
En effet, dans le cadre de l’hébergement de données de santé, le prestataire hébergeur devra non seulement répondre aux exigences de certification posées par le code de santé publique (certification « HDS » – Article L.1111-8 du Code de la santé publique), mais également détenir obligatoirement la qualification SecNumCloud. De même, la solution proposée par le prestataire hébergeur devra être immunisée contre tout accès non autorisé par les autorités publiques d’Etats tiers, et ce, afin de préserver la souveraineté numérique de la France.
En outre, la CSNP propose également d’étendre le rôle du préfet qui serait en charge de contrôler « que les données sensibles des collectivités territoriales et de leurs établissements soient bien hébergées dans un cloud souverain ».
De même, la CSNP encourage vivement dans son avis l’adoption d’un « Buy european act » et d’un « Small business Act » dont objectif est de réserver une part des marchés de l’Europe aux entreprises européennes publics, et ainsi privilégier les acteurs européens par rapport aux acteurs étrangers, notamment américains, alors qu’au moment où cet article est écrit, le procès de Google pour abus de position dominante vient de s’ouvrir aux Etats-Unis.
Si l’ensemble de ces recommandations visant à renforcer la souveraineté numérique de la France (et de l’Union européenne dans une plus large mesure) sont suivies, les établissements de santé et du médico-social qui décideront de recourir à un prestataire hébergeur de données de santé connaîtront des processus de sélection des candidats plus délicats.
Et le budget dans tout ça ?
Qui dit obligations plus lourdes, dit dépenses plus importantes pour les établissements de santé qui sont déjà pourtant financièrement pressurisés au quotidien.
La sécurité et la souveraineté des données souhaitées par la CNIL, le gouvernement et la CNSP ont pourtant un coût important pour ces acteurs.
Ce truisme est rappelé dans l’avis de la CSNP, qui appelle à un « accompagnement des plus petites collectivités, des établissements de santé et des universités qui ne disposent pas des moyens financiers et humains suffisants pour la mise en conformité », notamment avec la législation sur l’hébergement des données.
A ce titre, la mutualisation des moyens est souvent présentée comme une solution permettant de réaliser des économies et de disposer d’une structure informatique répondant aux exigences techniques écrasantes.
La doctrine du numérique en santé a été l’occasion de développer des programmes d’aides financières à destination des établissements de santé afin d’accélérer leur transition numérique de leur système de santé, à l’image du programme HOP’EN.
Au regard des exigences qui se multiplient envers les établissements de santé et du médico-social, l’heure n’est plus à la transition vers le numérique, mais à la consolidation des acquis afin de permettre à ces différents acteurs d’être suffisamment armés pour assurer une base solide en matière de conformité avant d’intégrer les nouvelles exigences à venir, qu’elles soient françaises ou européennes, juridiques et/ou techniques.
Raphaël Cavan a rejoint le Cabinet Houdart & Associés en 2022 tant qu’élève avocat, et exerce aujourd’hui en tant qu'avocat au sein du pôle santé numérique.
L’obtention de son master en droit du numérique auprès de l’université Paris XII (UPEC)et ses différentes expériences professionnelles auprès d’acteurs publics lui ont permis de développer un sens du service public et un intérêt pour les enjeux posés par le numérique aujourd’hui dans le secteur de la santé et de la recherche scientifique.
Il intervient aujourd’hui auprès des établissements de santé privés et publics dans leur mise en conformité à la réglementation en matière de données personnelles, et les conseille sur les questions en lien avec le droit du numérique.