Fuite de données de l’Assurance maladie : toute donnée peut potentiellement se révéler être une « donnée de santé »

Selon l’Assurance Maladie, près de 510 000 assurés seraient concernés par cette fuite de données.
Suite à cette violation, l’Assurance Maladie a procédé aux différentes démarches requises par le Règlement général UE n°2016/679 dit « RGPD » en cas de violation de données personnelles.
Bien que l’Assurance Maladie affirme qu’aucune donnée de santé n’ait été directement impactée par cette violation, force est de constater qu’on ne peut exclure que le croisement des différentes données volées pourraient révèler des informations relatives à la santé des assurés.

Les différentes démarches RGPD réalisées par l’Assurance Maladie suite à la violation de données personnelles 

L’Assurance Maladie a annoncé dans son communiqué avoir procédé aux démarches imposées par le Règlement UE n°2016/679 dit RGPD en cas de violation de données personnelles.

S’il faut bien évidemment et en priorité étudier la faille et mettre en place rapidement toutes les mesures nécessaires afin de remédier à cet incident, il faut également dans un délai de principe de 72 heures, notifier à la CNIL cette violation, conformément à l’article 33 du RGPD. Cette notification doit être réalisée via un formulaire mis à disposition en ligne sur le site de la CNIL, en renseignant un certain nombre d’informations, dont notamment les catégories de données concernées, le nombre de personnes impactées, ou encore la description de la faille découverte ou des éventuelles conséquences que pourraient avoir cette violation.
L’Assurance Maladie a ainsi annoncé avoir notifié cette violation à la CNIL le 16 mars 2022. 

Il y a lieu également de notifier cette violation de données aux personnes concernées, conformément à l’article 34 du RGPD. Cette notification doit permettre d’informer les personnes sur l’identité du Délégué à la Protection des Données (DPO), la nature de la violation, ou encore ses conséquences.
L’Assurance Maladie a assuré que ces informations seraient notifiées aux 510 000 assurés impactés. 

Enfin, et hors du champ du RGPD, l’Assurance Maladie a annoncé avoir déposé une plainte pénale, comme c’est usuellement le cas en cas de cyberattaque. Le dépôt de plainte permet en effet la réalisation d’enquêtes afin d’identifier les hackers mais surtout de chiffrer le préjudice subi par l’Assurance Maladie, pour réparer le sinistre.

Toute donnée personnelle est susceptible d’être qualifiée de « données de santé »

Les catégories de données personnelles impactées par la violation ont été partagées par l’Assurance Maladie, il s’agit des données d’identité (nom, prénom, date de naissance, sexe), du numéro de sécurité sociale, ainsi que des données relatives aux droits (déclaration d’un médecin traitant, attribution de la complémentaire santé solidaire ou de l’aide médicale d’Etat, éventuelle prise en charge à 100%). 

Elle exclut en revanche explicitement toutes « données relatives aux éventuelles pathologies / maladies et à la consommation de soins ».

L’article 4 (15) du RGPD définit les données de santé comme toutes données personnelles relatives à la « santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne ».

Cette qualification de « données de santé » peut paraitre évidente pour certaines informations, comme par exemple les maladies, handicaps ou encore les antécédents médicaux. Ces données sont considérées par la CNIL comme des données de santé « par nature ».

En revanche, il existe une seconde catégorie de données de santé, dont la qualification est plus délicate : les données de santé « par croisement ».  Il s’agit des données personnelles, qui, de premier abord, ne sont pas des données de santé, mais qui le deviennent lorsqu’elles sont combinées à d’autres informations. C’est le cas par exemple d’un nombre de pas combiné à une mesure de poids, ou à un apport calorique. 

Dans le cas de la violation de données dont est victime l’Assurance Maladie, même si aucune donnée de santé « par nature » n’a été en principe compromise, il est évident que la combinaison du nom de la personne, avec son information sur une prise en charge à 100%, pourrait révéler un état de santé et d’éventuelles maladies. 

Il convient de noter qu’il n’existe pas à ce jour de différenciation de régime en cas de violation de données personnelles, et de violation de données de santé, malgré le caractère hautement sensible de cette dernière catégorie.

En conclusion, cette affaire rappelle que toute donnée, même anodine, peut potentiellement devenir une donnée sensible. Le principe de « minimisation » des données, imposé par le RGPD, c’est-à-dire l’obligation de ne conserver que les données strictement nécessaire à son traitement, prend alors tout son sens. Plus le nombre de données  traité est faible, plus bas sera le risque en cas de fuite et de croisement.

[1] https://assurance-maladie.ameli.fr/sites/default/files/2022-03-17-Infopresse-Connexions-non-autorisees-comptes-amelipro.pdf 

L'auteure 

Alexandra Iteanu
Avocat à la Cour - Numérique - Cybersécurité - Data
Chargée d'enseignement Master 2 Droit des données Université Paris I Sorbonne - Membre de l'Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP)