Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia - 217

substantiel des règles applicables aux
cookies et autres traceurs  : certains
d'entre eux exprimaient d'ailleurs de
vives réserves et inquiétudes.

La sécurité des données de
santé : une problématique
plus que jamais
contemporaine

La Cnil a finalement annoncé le
25 mars 2020 qu'elle entendait
reporter la présentation du projet
de recommandations  à une date
ultérieure «  afin d'aborder dans un
contexte plus serein ce sujet majeur
pour la protection des données
personnelles comme pour l'économie de l'écosystème publicitaire  »4,
le secteur de la communication et
du marketing ayant été, par ailleurs,
touché de plein fouet et brutalement
par la crise sanitaire. Mais que penser
aujourd'hui de la pertinence d'une
telle consultation publique à la suite
d'une crise ayant entraîné des lourdes
conséquences, aussi bien pour les
régies publicitaires que pour les
annonceurs  ? Faut-il véritablement
se fonder sur des conclusions, certes
récentes sur un plan chronologique,
mais sans doute devenues obsolètes
au regard du marché actuel, et de ses
perspectives de redémarrage ?
Une vision ambitieuse - mais sans
doute nécessaire - pourrait consister
à reprendre à la source ce travail de
réflexion en engageant un nouveau
débat avec l'ensemble des acteurs et en
envisageant les conséquences que les
mutations brutales de ce secteur vont
entraîner sur les modes de traitement
des données personnelles.

La Cnil a déclaré vouloir « s'intéresser
plus particulièrement aux mesures
de sécurité mises en œuvre par les
professionnels de santé ou pour leur
compte » : cette thématique, effectivement majeure, trouve d'autant plus de
légitimité face à la situation sanitaire
actuelle.

Au-delà de considérations strictement juridiques, un principe de
réalité évident consiste à rappeler
que la mise en conformité avec la
réglementation applicable en matière
de données personnelles - autrement
appelée«  action de responsabilité  »
ou «  accountability  » - implique des
investissements forts, qu'ils soient
techniques, financiers ou humains.
Un simple report sine die, sans aucune
prise en considération des adaptations
fortes que le secteur de la publicité
a subies et va continuer de subir à
moyen terme, n'aurait qu'un intérêt
limité pour le consommateur final
puisqu'elle pourrait inciter certains
acteurs à prendre le risque d'une
mise en conformité inadaptée, voire
inexistante.

Il sera brièvement rappelé que
l'hébergement des données de santé
est particulièrement encadré, non
seulement par la réglementation
application en matière de données
personnelles mais également par le
code de la santé publique, notamment
à son article L.1111-8, imposant un
contrat avec le prestataire, l'obtention d'un certificat de conformité et
plus spécifiquement d'une série de
conditions posées par décret5. Les
solutions de télémédecine doivent
également être conformes à la politique
générale de sécurité des systèmes
d'information en santé (PGS-SIS). 
Dans le cadre de l'anticipation d'un
contrôle, se poserait alors la question
de l'identité du ou des responsables d'une brèche de sécurité  ou
d'une négligence susceptible de
l'occasionner  : si la réponse doit être
naturellement appréciée in concreto
au regard de la situation, une recherche
de l'origine de la faille, potentielle ou
réelle, devra être effectuée en fonction
de la qualification de l'acteur concerné
et ce, aussi bien sur le volet technique
que juridique.
Les éditeurs de solutions proposant
un tel système seront naturellement
au cœur de cette problématique,
afin de vérifier quelles garanties
de sécurité ont été proposées mais
également mises en œuvre. Ces
sujets sont relativement standards et
portent notamment sur la conformité aux dispositions applicables, la
vérification des protocoles utilisés,
nature des garanties proposées au
client, la capacité de réaction en cas
de brèche (trouver l'origine, chercher
à y mettre un terme, tout mettre en
EXPERTISES Juin 2020

œuvre pour qu'elle ne se reproduise
plus...). A noter que, dès lors que les
éditeurs de solutions viendraient à être
considérés comme des sous-traitants
(ce qui risque d'être le cas dans la
majorité des hypothèses), ils devraient
répondre, en tout état de cause, aux
exigences de contractualisation avec
les sous-traitants telles que posées par
l'article 28 du RGPD.
Or, la Cnil a également indiqué vouloir
s'intéresser à la violation des données
au sein d'établissements publics. A
ce titre, les professionnels de santé
concernés par un contrôle auraient
à répondre aux questions visant à
confirmer qu'ils se sont assurés de la
fiabilité des prestataires sélectionnés
ainsi que des outils proposés  : ont-ils
choisi un prestataire supposément
fiable  ? Ont-ils cherché à obtenir /
obtenu des garanties suffisantes  ? En
cas de brèche, ont-ils été proactifs ?
Ainsi, parmi les différents éléments
expressément cités par la Cnil6, la
pratique de la télémédecine a été
largement développée depuis l'entrée
en période de confinement  : une
attention particulière devra être portée
sur les outils exploités, ces derniers
devant s'assurer de proposer à leur
patientèle d'effectuer de telles consultations par le biais de solutions respectant non seulement, certaines d'entre
elles étant, par ailleurs, référencée par
le ministère de la Santé. Il sera noté
qu'un arrêté en date du 19 mars 2020
est néanmoins venu introduire une
tolérance pour les professionnels qui
auraient été dans l'impossibilité de
mettre en place de telles solutions et
accepter l'exploitation de «  tout autre
outil numérique  » sous réserve qu'il
soit exclusivement exploité dans le
cadre de la réponse à l'épidémie de
COVID-197.

Mobilités et services de
proximité, les nouveaux
usages de géolocalisation :
une problématique amplifiée
par la crise sanitaire
Dans ses annonces, la Cnil envisageait
de rechercher comment les solutions
visant à faciliter la vie quotidienne
exploitent les données de géolocalisation8. Une certaine ironie peut être

217
Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Juin 2020 - N°458 - Le mensuel du droit de l'informatique et du multimédia
