Violation de données : Les données de santé en crise

Violation de données : Les données de santé en crise
Article RGPD

On vous a déjà parlé de violations de données à plusieurs reprises : Comment y réagir ? Qui peut être responsable ?

Aujourd’hui une nouvelle question se pose : que se passe-t-il si je ne notifie pas la CNIL ?

En effet, vous l’avez probablement observé dans la presse : le secteur de la santé est de plus en plus touché par des cyberattaques qui sont à l’origine de violations de données de plus en plus importantes (vol de données, diffusion sur les réseaux, etc.)

En France, c’est probablement la plus grosse fuite de données de santé jamais observée qui touche actuellement près de 500 000 personnes qui prendrait pour source une cyberattaque ayant touché des laboratoires d’analyses médicales.

Élément surprenant concernant cette violation : la CNIL a découvert la violation comme tous les français ; via les médias. Élément surprenant puisqu’il existe une obligation de notification dès lors qu’une violation de données est constatée. C’est d’ailleurs ce que la CNIL a rappelé dans l’article publié sur son site à cette occasion.

Que se passe-t-il si on ne notifie pas la CNIL en cas de violations de données ?

Un point étudié par la CNIL sera sans doute de vérifier si les organismes touchés par la violation en étaient conscients. Au-delà des questions de bonne ou mauvaise foi, ce sera aussi l’occasion de s’assurer que les organismes disposaient de mesures de sécurité techniques ou logiques permettant de détecter un incident de sécurité.

Le cas échéant cette vérification permettra également de prouver si l’organisme, au courant de la violation (et espérant peut-être qu’elle passe inaperçue) a décidé de ne pas notifier la CNIL. Dans ce cas-là, le risque le plus évident est celui d’une sanction qui pourra prendre la forme d’une amende pouvant aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial.

Dans tous les cas, les organismes touchés par la violation ont bien l’obligation de notifier la CNIL.

Pourquoi ? Parce que l’intérêt d’une telle obligation n’est pas seulement celui de notifier la CNIL. Il s’agit aussi de présenter les mesures correctrices qui permettront d’éliminer la violation mais également d’endiguer ses effets.

La notification est alors l’occasion pour la CNIL d’évaluer ses mesures et de vérifier leurs efficacités. Le cas échéant, la CNIL pourra également recommander des mesures supplémentaires ou différentes.

Un autre élément à ne pas oublier est que les organismes touchés par la violation ont également l’obligation de notifier les personnes concernées ! À défaut, ils s’exposeront aussi à un risque de sanction.

Que retenir de la situation actuelle ?

En bref : la sécurité des données doit rester au cœur des questions de conformité RGPD.

En plus détaillé : la sécurité attendue s’entend tout autant par les mesures “classiques” (chiffrement, pseudonymisation, etc.) que par des mesures de sécurité préventives qui permettront de détecter des incidents pour les éliminer au plus tôt ! Sans oublier les process de notification auprès de la CNIL et des personnes concernées, essentiels pour répondre aux obligations en la matière.

Nos formations dediées au secteur santé

Partager l'article

Articles similaires

Applications mobiles : La CNIL publie ses recommandations
Article RGPD Minute RGPD

Applications mobiles : La CNIL publie ses recommandations

La CNIL publie ses recommandations pour avoir des applications conformes au RGPD. Une étape essentielle pour la sécurité des utilisateurs
Lire la suite
Meta, encore sanctionné pour violation de la protection des données
Article RGPD Minute RGPD

Meta, encore sanctionné pour violation de la protection des données

Le groupe Meta se retrouve une nouvelle fois dans la ligne de mire des autorités pour une affaire datant de 2019. Vendredi 27 septembre, le géant américain a écopé d’une nouvelle amende de 91 millions d’euros, infligée par la Commission irlandaise de protection des données (DPC), l’équivalent de la CNIL en Irlande.
Lire la suite