Quelles modalités de sécurité pour les traitements critiques dans le domaine de la santé ?

C’est quoi un traitement critique ? 

C’est un traitement qui répond aux deux conditions suivantes : 

- Il est réalisé « à grande échelle » au sens du RGPD ; 

- Il est celui pour lequel une violation de données pourrait soit entraîner des conséquences très importantes pour les personnes concernées, soit entraîner des conséquences pour la sûreté de l’État ou pour la société dans son ensemble (en raison de la perte de confidentialité, d’intégrité ou de disponibilité des données).

Parmi les exemples de traitements critiques, la CNIL vise « les traitements de santé à grande échelle, aussi bien dans le cadre du soin, de la gestion des épidémies, de la recherche ou des mutuelles ».

La nécessité d’une gouvernance de la protection des données personnelles 

Selon la CNIL, la protection des données personnelles concernées par des traitements critiques devrait se traduire par la mise en place d’une gouvernance dédiée. A ce titre, l’autorité précise que la protection de telles données devrait être un « enjeu » porté par la direction générale de l’organisme, qui devrait s’assurer que les moyens suffisants sont mobilisés pour garantir la sécurité de ces traitements.

Par ailleurs, la CNIL estime que chaque organisme devrait désigner un référent en matière de protection des données personnelles et de sécurité pour le traitement concerné et se fixer des objectifs, (i) traduits en règles de fonctionnement et (ii) formalisés dans une politique de sécurité. Elle ajoute que la sécurité devrait faire l’objet d’une « démarche d’amélioration continue », afin de permettre une « progression constante ». Un bilan de sécurité pourrait être réalisé de manière annuelle pour « tirer les leçons des éventuels incidents de sécurité » et « identifier et mettre en œuvre, sous la forme d’un plan d’action, les axes de progression ».

La nécessité d’une démarche de gestion des risques

Pour la CNIL, les traitements critiques devraient « systématiquement » faire l’objet d’une analyse d’impact, avec une mise à jour régulière pour une prise en compte de l’évolution des risques. Par ailleurs, la CNIL recommande que ces traitements fassent l’objet d’une homologation de sécurité avant leur mise en œuvre. Cela consisterait à « faire valider par la personne sous l’autorité de laquelle le traitement est mis en œuvre (par exemple, le directeur général dans une entreprise ou la personne délégataire du pouvoir de décision) le niveau de sécurité du traitement, les risques résiduels identifiés et le plan d’action visant à maintenir et à améliorer le niveau de sécurité du traitement dans le temps ».

La nécessité de cultiver une maturité élevée en sécurité et protection des données 

Selon la CNIL, il apparaît indispensable que les organismes concernés soient dotés d’un RSSI et d’équipes chargées d’inclure les problématiques de sécurité « dans les phases amont des projets de modification ou de création de systèmes d’information, puis de maintenir la sécurité des systèmes dans le temps. » Cette maturité attendue par la CNIL suppose également que le personnel soit sensibilisé, de manière continue, à la sécurité informatique, à la protection des données, mais aussi aux nouvelles menaces. Un exercice relatif à la sécurité informatique devrait être conduit régulièrement.

La nécessité d’une démarche de défense en profondeur 

En application du concept de « défense en profondeur », la sécurité des données « ne devrait pas être assurée par une mesure unique mais par un ensemble cohérent de mesures capables de parer à la défaillance d’une mesure unitaire ». La CNIL estime que, dans le cadre de cette démarche, les responsables du traitement devraient s’inspirer de la logique « zéro confiance », en tant que modèle d’architecture limitant la confiance implicite accordée au sein du système de défense périmétrique, tel que présenté par l’ANSSI. Ce renforcement de la sécurité passerait par plusieurs mesures : cloisonnement, imputabilité, maîtrise des accès plus granulaires, analyse de la sécurité périmétrique, tests réguliers de restauration des sauvegardes, veille active des nouvelles vulnérabilités, etc. 

La nécessité d’une préparation active à d’éventuels incidents de sécurité ou violation de données 

La CNIL recommande que les traitements critiques fassent l’objet de « mesures de traçabilité particulièrement poussées, mises en place dès l’intégration du traitement de données au système d’information et couvrant tous les équipements impliqués dans le traitement de données à caractère personnel ». Elle ajoute que ces mesures de traçabilité devraient s’accompagner de « mesures d’analyse automatique des journaux afin de faciliter la détection des éventuels incidents de sécurité et violations de données ». Le responsable du traitement devrait, par exemple au moyen d’une procédure dédiée, préciser les critères conduisant à qualifier un incident de sécurité en tant que violation de données à caractère personnel. Par ailleurs, les organismes devraient être dotées d’un centre opérationnel de sécurité (COS ou SOC) disposant d’outils dédiés à l’analyse des journaux et à la détection d’incidents, et notamment d’un système de gestion des informations et des événements de sécurité. En fonction des risques pesant sur le traitement critique, le responsable devrait envisager que l’équipe de détection d’incident soit opérationnelle à tout instant.

La nécessité d’une maîtrise des relations avec les tiers 

En plus d’un encadrement contractuel conforme aux exigences des articles 28 du RGPD et 122 de la loi « informatique et libertés », la CNIL estime que des exigences de sécurité devraient être formalisées et détaillées, notamment sous la forme de niveau de service attendu (SLA), « à la hauteur des exigences que le responsable du traitement a identifiées pour le traitement ». De plus, la CNIL recommande qu’en fonction de la criticité de la prestation rendue par le sous-traitant, le responsable du traitement « déploie des efforts proportionnés pour s’assurer du respect des obligations du contrat », en particulier sous la forme d’audits réguliers. 

Ce projet est soumis à la consultation jusqu’au 8 octobre 2023 avec pour objectif la confirmation, d’une part, de la notion de « traitements critiques » et, d’autre part, des mesures de sécurité associées. Il est prévu que cette recommandation soit publiée au début de l’année 2024. 

[1] https://www.cnil.fr/sites/cnil/files/2023-08/recommandation_relative_aux_traitements_critiques.pdf

L'auteur

Alexandre FIEVEE
Avocat associé
Derriennic Associés