Rapport annuel de la Cnil : augmentation des violations de données

Dans son 41^e rapport d’activité, la Cnil fait le bilan d’une année 2020 où le nombre de plaintes a été très élevé et les violations de données en très forte augmentation trois ans après l’entrée en application du RGPD. En voici quelques enseignements.

Covid-19 : protection des libertés et des données personnelles

La Cnil a noté l’augmentation de l’utilisation des technologies de communication à distance et de dispositifs de surveillance pour essayer de ralentir l’épidémie ou pour s’adapter aux mesures de distanciation physique. La Commission a contribué à garantir que les systèmes développés (StopCovid, TousAntiCovid, SI-DEP, Contact Covid, Vaccin Covid) soient respectueux des droits des personnes concernées. À l’échelle européenne, la Cnil a participé à l’élaboration de positions communes, notamment sur les applications de suivi de contact ou le traitement de données de santé à des fins de recherche scientifique dans la lutte contre le virus.

Elle a également apporté sur son site  sur la continuité pédagogique, le télétravail, la distribution de masques par les collectivités ou encore TousAntiCovid. De plus, elle a mis l’accent sur le traitement des plaintes liées à la Covid-19 ainsi que sur les contrôles des dispositifs mis en œuvre et mené des inspections sur des sujets aussi différents que les  ou l’usage des drones équipés de caméras pour surveiller le respect des mesures de confinement. Ainsi, en 2020, 423 autorisations de recherche en santé ont été accordées, dont 89 sur la Covid. 45 % de ces derniers dossiers ont été traités en moins de deux jours.

Les temps forts de l’année 2020

Parmi les temps forts de l’année 2020, la Cnil a publié, au deuxième trimestre, son arrêté prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de Covid-19 dans le cadre de l’état d’urgence sanitaire, avec notamment la mise en demeure, en juillet, du ministère des Solidarités et de la Santé sur StopCovid, qui a été clôturée en septembre. En juillet, la Cnil a également diffusé trois référentiels pour le secteur de la santé.

L’usage des pratiques numériques a explosé, notamment la médecine à distance. Le total des téléconsultations atteignait à peine 60 000 en 2019. Plus de 5,5 millions de téléconsultations ont été facturées entre mars et avril 2020 selon l’Assurance maladie. D’après un sondage Ifop[1], 51 % des personnes ayant eu recours à des outils numériques l’ont fait pour des raisons de santé, devant les raisons professionnelles (41 %) ou d’études (38 %).

La souveraineté numérique

La Cnil rappelle l’engagement de l’État de transférer dans un délai de deux ans l’hébergement de la plateforme nationale des données de santé, le Health Data Hub, vers une solution technique permettant de ne pas exposer ces données sensibles à d’éventuelles demandes d’accès illégales au regard du RGPD. La cybersécurité, dont le RGPD est un instrument trop méconnu, est l’une des trois priorités en termes de mise en conformité, et pas seulement dans le secteur de la santé, au service d’une société numérique de confiance. Outre le consentement aux cookies, l’autre secteur prioritaire est l’hébergement des données dans un Cloud souverain comme protection face aux législations étrangères trop intrusives, notamment en matière de données de santé.

L’accompagnement par le bac à sable

En 2020, la Cnil a continué son action d’accompagnement de l’innovation, prolongée en 2021, avec le dispositif du « bac à sable » consacré aux projets innovants dans le domaine de la santé numérique, dans le but de fournir un accompagnement renforcé, mais temporaire, à des projets particulièrement innovants et de promouvoir une logique de privacy by design 

Plateforme des données de santé

Le Health Data Hub (HDH), créé le 30 novembre 2019, a été mis en œuvre de façon anticipée en avril 2020 pour la gestion de l’urgence sanitaire et l’amélioration des connaissances sur la Covid-19 au sein d’un « entrepôt Covid », regroupant certaines données personnelles, notamment de santé. L’objectif était de suivre et de projeter les évolutions de l’épidémie, de prévenir, de diagnostiquer et de traiter au mieux la pathologie, pour organiser le système de santé en conséquence. Dans ce cadre, la Cnil avait soulevé les risques liés à un démarrage anticipé sur la sécurité des données traitées, notamment les risques matériels et juridiques en matière d’accès direct par les autorités de pays tiers comme les États-Unis, au regard du recours à Microsoft pour héberger les données de santé (service Azure de Cloud Computing).

.

[1] Réalisé en ligne du 25 au 31 août 2020 auprès d’un échantillon de 1 001 personnes, représentatif de la population française âgée de 18 ans et plus.