Actualités sur les obligations et responsabilités des éditeurs traitant des données de santé

L’affaire trouve son origine dans deux violations de données survenues fin 2022 sur le progiciel utilisé par la MDPH. Ces incidents ont entraîné l’exposition de données de nombreux d’usagers, y compris des données particulières au sens du RGPD (données d’identité, de santé, relatives au handicap, numéro de sécurité sociale (NIR)). Dans le cadre de leur notification à la CNIL, la MDPH a mentionné que les violations étaient dues à une erreur de paramétrage de l'éditeur.
Une mission de contrôle, au sein du groupe de l'éditeur, a donc été effectuée par la CNIL.

1. Devoir de conseil, de mise en œuvre des mesures appropriées et de conformité à l'état de l'art

La CNIL se fonde sur différents audits (internes et externes) ayant révélé la présence de nombreuses vulnérabilités critiques dans le code, dont certaines répertoriées dans le Top 10 OWASP. Elle relève une hausse du nombre de vulnérabilités critiques entre deux audits menés en 2021 et une persistance de ces failles sur plusieurs mois, bien que documentées et identifiées comme exploitables.

S’appuyant sur les recommandations de l’ANSSI, la CNIL rappelle que la sécurité d’un logiciel ne doit jamais reposer sur un seul composant. Or, dans le cas de la solution, un défaut dans une brique technique pouvait suffire à (i) contourner les contrôles d’accès, (ii) modifier ou supprimer certaines données, (iii) accéder à des contenus non autorisés. Ce faisant, la CNIL déplore une absence de « défense en profondeur ».

La CNIL relève l’usage de technologies cryptographiques obsolètes (SHA‑1, jugé vulnérable par l’ANSSI depuis 2017). Ce seul élément suffit à caractériser un manque de conformité à l’état de l’art, même en l’absence d’incident lié spécifiquement à ce choix.

L’incapacité de déterminer les données ayant fait l'objet de violation a mis en exergue une traçabilité inefficiente, d'après la formation restreinte, laquelle rappelle à ce titre qu’il est recommandé de "prévoir une traçabilité " active ", c’est-à-dire de formaliser un processus permettant de générer des alertes et de les traiter en cas de suspicion de comportement anormal".

Enfin la CNIL qualifie l'authentification multi facteur, de "mesure élémentaire de sécurité à mettre en œuvre, en particulier s’agissant d’un traitement comportant des données sensibles".

Au global, la CNIL indique "C'est bien le caractère évident des failles relevées, c’est bien le caractère évident des failles relevées, portant sur des vulnérabilités pourtant documentées par la doctrine et de l’état de l’art, ainsi que leur persistance, qui démontrent que la société (.) n’a pas respecté son obligation de moyens d’assurer la sécurité des données traitées, et qui caractérisent le manquement à l’article 32 du RGPD".

"La formation restreinte considère que le manquement résulte d’une négligence de la part de la société (.), qui n’a pas pris en compte l’état de l’art dans la mise en œuvre de mesures techniques et organisationnelles pour le [logiciel] – et ce surtout alors que le conseil en systèmes et logiciels informatiques est son cœur d’activité".

En outre, la CNIL relève que "Ce n’est qu’après la survenance des violations de données (.), puis l’intervention du responsable de traitement qui a diligenté des tests d’intrusion, que la société a apporté des correctifs à certaines des vulnérabilités constatées (.)".

2. Maîtrise des sous-traitants ultérieurs et des choix technologiques

En réponse aux arguments de l'éditeur tendant à incriminer le responsable de traitement (la MDPH), les éditeurs de composants tiers, et l'hébergeur, la CNIL rappelle que le sous‑traitant "est tenu de s’assurer que le traitement automatisé de données mis en œuvre pour le compte du responsable de traitement est suffisamment sécurisé".

Elle considère qu’indépendamment des obligations qui pèsent en propre sur le responsable du traitement, "il revient au sous-traitant de proposer et de mettre en œuvre les solutions techniques et organisationnelles adéquates en matière de sécurité des traitements".

La CNIL relève en l’espèce que "compte tenu de son expertise en matière de développement de solutions informatiques et de ses obligations, il revenait à la société (.) de rechercher les mesures techniques et organisationnelles de nature à assurer la confidentialité des données à caractère personnel traitées."

La CNIL relève en outre différentes dispositions contractuelles réservait une marge de manœuvre importante pour assurer la sécurité au sous-traitant, tenu "à une obligation de conseil, de mise en garde et de recommandations en termes de sécurité et de mise à l’état de l’art", et à la mise en place des "mesures nécessaires au respect des traitements déclarés" ou "d'assurer la sécurité des données à caractère personnel confiées".

S'agissant des sous-traitants ultérieurs, la CNIL rappelle que "lorsqu'un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement [et] […] lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l'exécution par l'autre sous-traitant de ses obligations."

A nouveau, les conditions contractuelles liant les parties apparaissent déterminantes, la formation restreinte relevant en effet que l'intégration d'une brique était un choix ne résultant pas d’une demande expresse du responsable de traitement, mais du sous-traitant.

3. Obligation de maturité et de réactivité

"La formation restreinte considère que le manquement résulte d’une négligence de la part de la société (.), qui n’a pas pris en compte l’état de l’art dans la mise en œuvre de mesures techniques et organisationnelles pour le [logiciel] – et ce surtout alors que le conseil en systèmes et logiciels informatiques est son cœur d’activité".

En outre, la CNIL relève que "Ce n’est qu’après la survenance des violations de données (.), puis l’intervention du responsable de traitement qui a diligenté des tests d’intrusion, que la société a apporté des correctifs à certaines des vulnérabilités constatées (.)".

Au final, pour infliger une sanction d'1,7 million d'€, la CNIL retient le CA du Groupe et non celui de la solution incriminée, et ordonne la publicité au regard de la gravité avérée du manquement, de la sensibilité du traitement, et aux fins d'information des personnes concernées.

Conclusion

L'indulgence à l'égard des éditeurs de solutions en santé n'est plus au goût du jour.
Ces derniers doivent procéder à des audits de sécurité, implémenter les actions correctives de manière réactive, se conformer à l'état de l'art, et maitriser leurs sous-traitants, faute de quoi leurs manquements constituent des négligences, d'une gravité particulière compte tenu de la sensibilité des données…

Et les obligations réglementaires des éditeurs sont appréciées d'autant plus sévèrement que les conditions contractuelles leur accordent une autonomie de choix techniques te technologiques, et portent à leur charge des obligations particulières de sécurité.

A vos contrats !