L'activité de la CNIL en 2023

Le rapport annuel 2023 de la CNIL publié le 23 avril dernier, met en exergue une activité importante dans le secteur de la santé. En effet, il ressort de celui-ci que la commission a reçu 16 433 plaintes (soit une hausse de 35 % par rapport à 2022), parmi lesquelles, 3% concernait le secteur de la santé. Par exemple, suite à des plaintes reçues qui dénoncent des accès par des tiers non autorisés à des dossiers patients informatisés (DPI) au sein d’établissements de santé, la CNIL a contrôlé 11 établissements de santé depuis 2022, principalement des CHU. « Certains » ont fait l’objet d’une mise en demeure et doivent se mettre en conformité, c’est-à-dire, préserver la sécurité et la confidentialité des données de leur DPI.

 

Par ailleurs, entre février et avril 2023, un appel à candidatures a permis de sélectionner des entreprises innovantes, engagées dans une évolution rapide de leurs activités et dont le modèle d'affaires repose sur le traitement de données, pouvant bénéficier d'un appui des équipes de la CNIL. Cet accompagnement a notamment profité à la société Lifen qui est une plateforme de coordination médicale pour les établissements de santé et les praticiens libéraux spécialisée dans l'interopérabilité et dans l'IA en santé.

 

En mai, la CNIL a indiqué être davantage favorable à une fusion de la carte vitale et de la carte nationale d’identité (CNI), plutôt qu’à une mise en place d’une carte Vitale biométrique. Elle émet tout de même certaines réserves à ce projet : 

  • le numéro de sécurité sociale ne doit être lisible que par les outils et acteurs intervenant pour la prise en charge sanitaire de la personne ;
  • des mesures de sécurité particulières doivent être mises en œuvre ;
  • des alternatives devraient également être envisagées, dès lors que la détention d’une carte Vitale n’est pas obligatoire et que les assurés sociaux ne disposent pas tous d’une CNI.

 

Afin de simplifier l’accès à la base principale du Système national des données de santé (SNDS) à des fins de recherche, la CNIL a aussi adopté deux nouvelles méthodologies de référence en octobre. Elles permettent aux organismes publics et privés, à l’exception des assureurs, de traiter l’ensemble des données de la base principale du SNDS.

 

En outre, pour aider les acteurs du secteur social et médico-social, elle a publié deux documents en novembre: 

  • un référentiel qui recense les durées de conservation pour les traitements les plus fréquemment mis en œuvre dans le secteur social et médico-social
  • et une fiche pratique destinée à accompagner les professionnels du secteur dans l'élaboration de leur politique de conservation des données.

 

À la suite d’un premier avis défavorable, la commission a autorisé le journal Le Point, en décembre, à traiter les données du programme de médicalisation des systèmes d'information (PMSI) des hôpitaux nécessaires à l’élaboration des trois prochains palmarès.

 

Enfin, dans le cadre de son activité répressive, la CNIL a sanctionné des organismes qui ne recueillaient pas le consentement des personnes pour traiter des données de santé et en a profité pour rappeler que le simple fait pour une personne de livrer spontanément de telles informations ne peut pas être considéré comme un consentement explicite. De plus, elle a sanctionné 8 organismes pour ne pas avoir fait droit à des demandes d’opposition et d’accès aux données. Parmi eux, 4 professionnels de santé n’avaient pas fait droit à des demandes de communication de données de santé, violant ainsi l’article 64 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.