par Gabriel Avigdor

Le Portugal inaugure les amendes sous le RGPD par une sanction de €400’000 contre un hôpital pour trois infractions au RGPD. Cet article est l’occasion de rappeler quelques affaires récentes en matière de protection des données datant d’avant le 25 mai 2018 , ainsi que la situation des hôpitaux en Suisse.

_____________________

MAUVAISE GESTION DES ACCÈS AUX BASES DE DONNÉES PATIENTS

Selon le site CIO-online, l’établissement hospitalier “Hospitalar Barreiro-Montijo” au Portugal écope de 3 amendes pour violation du RGPD:

1. Violation des principes d’intégrité et de confidentialité des données : € 150 000.- ;
2. Violation du principe de limitation d’accès aux données : € 150 000.- ; et
3. Incapacité pour le responsable du traitement des données à garantir l’intégrité des données. € 100’000.-

L’autorité de contrôle de protection des données portugaise, la CNPD (Commission nationale pour la protection des données) a constaté que plusieurs membres du personnel administratif de l’hôpital avaient des accès réservés aux médecins au travers de faux profils! En parallèle, 985 médecins avaient des habilitations pour accéder au dossier médical des patients, alors que l’établissement ne comprend que 296 médecins. De plus, du personnel non-médecin avait accès aux dossiers patients.

Cette affaire fait suite à enquête menée par la CNPD sur dénonciation d’une association de médecins au mois de juin 2018. Référence de cette décision dans un article local et ici (en portugais).

_____________________

RAPPEL : LES DECISIONS RENDUES APRÈS LE 25 MAI 2018, NE SONT PAS TOUTES ANALYSÉES SELON LE RGPD

Alors que plusieurs décisions sont tombées en Europe depuis  le 25 mai 2018, elles concernaient, pour la grande majorité des cas, des faits antérieurs à l’application du Règlement (UE) 2016/679 (RGPD).

Le Règlement Général sur la Protection des Données (en anglais “GDPR“) s’applique partout dans le monde. En particulier, il s’applique aux traitements de données opérés sur les données de personnes situées dans l’UE. La citoyenneté n’a, à cet égard, aucune pertinence pour connaître du champs d’application territorial du Règlement, c’est-à-dire où il s’applique.

Le RGPD n’étant applicable que depuis le 25 mai 2018, le principe de non rétroactivité implique que toutes les enquêtes ou faits antérieurs sont réglés selon l’ancien droit. Il n’est donc pas possible d’infliger des amendes calculées les fameux 2% -€10M / 4% – €20M, mais uniquement selon les législations nationales des 28 pays de l’UE. Dans ce cas, ce sera la Directive UE 95/46/CE sur le traitement des données personnelles qui s’appliquera, tout comme les lois nationales de chaque pays de l’UE. La portée extra-territoriale du RGPD n’était, avant mai 2018, pas encore applicable.

Attention. On lit de nombreux articles sur Internet mentionnant des amendes infligées en 2018, et faussement rendues “sous le RGPD”. Vérifiez bien que les faits soient postérieurs au 25 mai 2018 avant de parler de sanctions sous le RGPD !

_____________________

DEUX DECISIONS IMPORTANTES RENDUES APRÈS LE 25 MAI, MAIS PAS SOUS LE RGPD

A titre d’exemples, voici deux décisions importantes rendues après le 25 mai 2018 sous la Directive 95/46/CE auxquelles je compare le montant des amendes sous l’ancien et le nouveau droit. Il ne s’agit ici que d’une estimation fondée sur deux législations différentes et dont le montant est extrapolé. Ces chiffres ne sont fournis qu’à titre indicatif.

Affaire Equifax

Le 20 septembre 2018, c’est le scandale des données de cartes de crédit volées à Equifax Inc. lors d’une cyber attaque. L’attaque visait les USA, mais près de 15 millions de données de citoyens britanniques furent volées. Le Bureau du Commissaire pour l’Information au Royaume-Uni (Information Commission Office “ICO”) a rendu une décision sanctionnant Equifax Ltd à l’amende la plus lourde, soit £500’000.-, selon la loi britannique sur la protection des données. Cette décision intervenue en septembre 2018, concernait des faits datant de 2017.

Dans cette affaire, il était question des manquements d’Equifax à ses obligations de mettre en place des mesures organisationnelles et techniques pour empêcher les accès indus (équivalent de l’art. 32 RGPD) aux données de ses clients, en particulier vu le caractère sensible des données de cartes de crédit. De plus, l’ICO a considéré que la durée de conservation (principe fondamental de la protection des données) des données de ses clients avait dépassé ce qui était nécessaire, ce qui a contribué à exposer plus de données à la cyberattaque.

Sous le RGPD, une infraction à l’article 32 (obligation de mettre en place des mesures organisationnelles et techniques appropriées pour protéger les données) peut conduire à une amende allant jusqu’à une amende de 2% du chiffre annuel mondial du groupe (art. 83 al. 4 let. a RGPD). Il en va de même pour le montant de l’amende en cas de non-respect de l’obligation de traiter les données selon le principe de protection des données dès la conception (Privacy-by-Design) et par défaut (Privacy-by-default). Ce dernier principe, inclut la notion de durée de conservation, soit l’obligation de ne conserver que les données personnelles “qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées” (art. 25 al. 2 RGPD). Ainsi, et pour autant que l’ICO eût utilisé les mêmes critères et arrivé à la même évaluation sous la Directive 95/46 que sous le RGPD, l’amende aurait pu avoisiner les quelques £20.87 millions, contre  £500,000 sous l’ancien droit.

Affaire Cambridge Analytica

Le 24 octobre 2018, Facebook Ireland Ltd a aussi été condamnée à la plus lourde amende possible selon le droit anglais par l’ICO britannique. Cette décision bien qu’intervenue en octobre 2018, concernait des faits antérieurs au 25 mai 2018.

Dans cette décision, Facebook a reçu une amende de £500’000.- pour avoir négligé la sécurité des données de ses utilisateurs. Dans ce scandale, l’entreprise Cambridge Analytica avait trompé les utilisateurs de Facebook en collectant des données de sondage pour analyser le comportement d’utilisateurs et influencer leurs intentions de vote pour les élections aux Etats-Unis lors de la campagne de Donald Trump. Il est par ailleurs probable que de pareilles méthodes aient été utilisées lors de précédentes campagnes aux USA, y compris pour l’élection de Barack Obama.

Facebook avait ainsi omis de protéger ses utilisateurs en ne mettant pas en place les mesures de sécurité appropriées. Cambridge Analitica, par ses sondages, avait pu obtenir un accès au profil des utilisateurs, mais également aux profils des “amis Facebook” des personnes participant au sondage, alors que ces personnes ne le savaient pas et n’avaient pas pu consentir ni être informées de cela.

Si la sanction avait été rendue sous le RGPD, et pour autant que les mêmes critères d’application eussent été utilisés, l’amende maximale de 4% aurait été d’une autre envergure. En effet, si l’on prend le chiffre d’affaire annuel net du groupe Facebook en 2017 (2018 pas encore connu), soit hors impôts, et en comparant le taux de change au 31 décembre 2017 entre EUR et GBP, l’amende aurait pu se monter à quelques £471,64 millions. Cela constituerait une hausse de +943% par rapport à l’amende rendue par l’ICO au Royaume-Uni.

_____________________

LA PREMIERE DECISION SOUS LE RGPD ?

Le 29 mai 2018, une décision importante allemande ICANN vs EPAG, traitait du cas des “données Whois”, soit les données personnelles des détenteurs de noms de domaines, données collectées et rendues publiquement accessibles. La société “Registrar EPAG Domainservices GmbH”, une société allemande accreditée par l’ICANN pour les enregistrements des noms de domaine (Registrars) était en litige contre l’ICANN. Dans cette affaire, il était question de savoir si les données de contact lors de l’enregistrement des noms de domaines (Admin-C et Technical-C) devaient être nécessairement collectées.

Au regard de l’art 5 (1) let. c) RGPD, la court allemande a considéré qu’il n’était pas obligatoire de collecter ces données. L’EPAG n’avait donc aucune obligation de collecter ces données et que personne ne pouvait le lui imposer.

La conséquence de cette décision est assez importante. De nombreux fournisseurs en ligne ont offert pendant des années de payer pour ne pas apparaître comme détenteur du site web, et ce afin de rester anonyme (service “whoisguard” par exemple). Vu qu’il n’y a aucune obligation de collecter ces données, les services payants n’auraient aujourd’hui plus de raison d’être, rendant ce service désuet, voir illégal. On voit maintenant des agences offrir “gratuitement” le service d’anonymisation des données de contact du détenteur d’un site à leurs clients. Certaines agences en font même un argument marketing, alors que les données n’ont plus à être publiées.

_____________________

QU’EN EST-IL DES HÔPITAUX SUISSES ?

La très vaste majorité des hôpitaux publics et cliniques privées suisses ne sont pas soumis au RGPD. Pourquoi ?

Pour la simple et bonne raison que ces établissements ne sont pas situés dans l’Union européenne. A cela s’ajoute qu’ils  n’offrent pas de biens et de services à des personnes situées dans l’UE. Ils ne surveillent pas non plus le comportement de personnes situées dans l’UE.

Mais attention, ce n’est pas parce que les amendes européennes ne peuvent pas toucher les établissements hospitaliers suisses que les risques n’existent pas. Au contraire.

Comme je l’écrivais dans mon article sur les données de 800’000 clients volées à Swisscom, l’absence de législation sérieuse sur la protection des données (avec des sanctions ayant un effet préventif et dissuasif) n’encourage pas les responsables de traitement à protéger les données des citoyens et des patients suisses. De nombreux cas récents ont démontrés que les hôpitaux sont devenus une cible de choix pour les cyber attaques, notamment pour la valeur des données de santé et par le fait que les mesures de sécurité adéquates coûtent chers et prennent du temps à mettre en place.

On peut voir dans ce rapport en anglais que les données médicales permettent d’accéder à de nombreuses informations pour des utilisations frauduleuses diverses:

• Document de l’American Hospital Association sur les attaques des hôpitaux
• Anthem – record historique de vol de données concernant plus de 80 millions de patients et employés

Les demandes de ranson (ransomware) sont devenues monnaie courante, et les erreurs humaines sont la plus grande cause des failles de sécurité. Dans un environnement avec tant de passages, de changement de personnel, avec des activités 24h/24h, les accès aux données patients et données confidentielles requièrent un contrôle strict au niveau des accès et des formations constantes des collaborateurs à tous les niveaux hiérarchiques. Il n’est d’ailleurs pas étonnant que de nombreux hôpitaux fassent l’objet d’enquêtes et de sanctions par les autorités de protection des données.

Et le droit suisse dans tout cela ?

Le projet de révision de la LPD, qui reste toujours en suspens au Parlement fédéral, sera tôt ou tard finalisé et entrera en vigueur avec un très large alignement au RGPD. Les amendes seront plus lourdes qu’aujourd’hui, même si elles resteront modérées (CHF 250’000 demain VS CHF 10’000 aujourd’hui), les incidents devront être notifiés, des études d’impact devront être menées pour les traitements à risque, les traitements devront être documentés de manière précises, les exigences relatives au consentement seront ré-haussées, etc.

Il reste donc essentiel pour les hôpitaux suisses, comme pour toutes les entreprises suisses, de se préparer à la révision de la LPD en tirant enseignement de ce qu’il se passe en Europe.

—

Par Gabriel Avigdor | NTIC.ch

Nous conseillons les entreprises en protection des données (RGPD et droit suisse), en matière de technologies et santé connectée en Suisse et sur le plan international. Pour plus d’informations, contactez-moi ou visitez datalex.ch.

amendebase de donnéesCNPDDirective 95/46GDPRhôpitalICANNprotection des donnéesRèglement général sur la protection des donnéesRGPD