Publicité en cours de chargement...
La CNIL sert-elle encore à quelque chose ?
La CNIL est née en 1978, à la suite du tristement célèbre projet SAFARI, qui ne visait rien moins que tous nous ficher, classer, estampiller et ranger nos fiches dans des cartons sur les étagères de l'administration. La page consacrée à cet épisode sur le site Wikipedia est très bien détaillée et cela fait froid dans le dos. Que l'idée de ficher et corréler toutes les données soit née dans quelque esprit bureaucratique n'étonne personne en fait tant on retrouve là le délire habituel des décideurs : pouvoir, en appuyant sur un seul bouton, avoir accès à toutes les données d'un individu - salaires, impôts, santé, contraventions, etc.
37 ans plus tard, la donne a changé : l'informatique est partout, les citoyens se fichent eux-mêmes (Facebook), la capacité de traitement est sans commune mesure et il suffit de savoir que Google a été capable, lors de l'épidémie de grippe H1N1, de prévoir l'avancée de la maladie avant l'OMS juste en analysant les requêtes de recherche dans son moteur web pour mesurer ce qui nous attend. Dans le monde de la santé, nous faisons actuellement face à plusieurs problèmes qui démontrent clairement la limite de la CNIL – ou son impuissance, c'est selon.
Tout d'abord, de cloisonnés les SIH deviennent ultra connectés. Qu'un établissement puisse envoyer une image de scanner d'un patient à un autre établissement pour avis médical, tout le monde applaudit : lutte contre la désertification de certaines professions ou régions, travail en commun pour le bien du patient, etc. Qu'un établissement envoie ses RUM et RSS pour optimisation du codage PMSI à une société privée, là on rigole moins. Qu'un autre établissement envoie des comptes-rendus sous format mp3 à une entreprise offshore francophone pour externaliser la frappe, là c'est pire puisque tout le monde fait semblant de ne pas voir. La CNIL a bien montré les dents au début, mais depuis silence radio. Certes la future loi de santé 2015 va étendre le périmètre du SIH en étendant celui de la personnalité juridique du traitant (l'hôpital), mais le « dehors » du SIH existera toujours, il faudra toujours connecter, échanger, etc.
Enfin, il faut avoir le courage de le reconnaître, les principaux manquements (pour rester polis) à la CNIL ne sont pas à chercher dans les traitements non déclarés. A peu d'exceptions, tous les établissements déclarent leurs traitements, et si l'un d'eux est passé au travers la plupart du temps il s'agit d'un oubli en toute bonne foi. Non, le principal manquement, au moins dans les CHU, concerne les acteurs au sein des traitements : si une donnée de santé est réservée à l'équipe médicale qui prend en charge, alors dès que les équipes de recherche accèdent à cette donnée il faudrait crypter l'identité – ce que personne ne fait jamais. Pire encore, les stagiaires, qui accèdent aux données médicales nominatives – et qui ne sont Ô grand jamais mentionnés dans les déclarations. Pire du pire, les stagiaires des entités extérieures mis à disposition de l'établissement, et qui accèdent aussi aux même données. Et dans ces cas spécifiques, à moins de savoir précisément où chercher les contrôles CNIL ne peuvent débusquer ce type de déviance et on pourrait à loisir multiplier les cas d'usage.
Il est question de modifier les statuts de cette institution, et de supprimer la notion même de déclaration. La CNIL se concentrerait alors sur les contrôles, et seule serait examinée la conformité à la loi. Ce serait une bonne chose en soit – surtout si les amendes passent d'un mode de calcul forfaitaire à un pourcentage du chiffre d'affaire – mais encore faudra-t-il que des amendes soient vraiment prononcées. Bref, nous sommes certainement au début d'une grande mutation en la matière et nul ne sait si la notion de données personnelles subsistera, sous sa forme actuelle, dans les dix prochaines années où si les citoyens devront développer individuellement des capacités « furtives » pour échapper au fichage – mais cela est une autre histoire.
Avez-vous apprécié ce contenu ?
A lire également.

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé
07 juil. 2025 - 23:57,
Actualité
- DSIHLe ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS
01 juil. 2025 - 00:00,
Actualité
- DSIHLa 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !
30 juin 2025 - 20:50,
Communiqué
- APSSISL’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.
La cyber et les sacs de luxe
30 juin 2025 - 20:44,
Tribune
-C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.