Le rapport annuel 2023 de la CNIL publié le 23 avril dernier, met en exergue une activité importante dans le secteur de la santé. En effet, il ressort de celui-ci que la commission a reçu 16 433 plaintes (soit une hausse de 35 % par rapport à 2022), parmi lesquelles, 3% concernait le secteur de la santé. Par exemple, suite à des plaintes reçues qui dénoncent des accès par des tiers non autorisés à des dossiers patients informatisés (DPI) au sein d’établissements de santé, la CNIL a contrôlé 11 établissements de santé depuis 2022, principalement des CHU. « Certains » ont fait l’objet d’une mise en demeure et doivent se mettre en conformité, c’est-à-dire, préserver la sécurité et la confidentialité des données de leur DPI.
Par ailleurs, entre février et avril 2023, un appel à candidatures a permis de sélectionner des entreprises innovantes, engagées dans une évolution rapide de leurs activités et dont le modèle d'affaires repose sur le traitement de données, pouvant bénéficier d'un appui des équipes de la CNIL. Cet accompagnement a notamment profité à la société Lifen qui est une plateforme de coordination médicale pour les établissements de santé et les praticiens libéraux spécialisée dans l'interopérabilité et dans l'IA en santé.
En mai, la CNIL a indiqué être davantage favorable à une fusion de la carte vitale et de la carte nationale d’identité (CNI), plutôt qu’à une mise en place d’une carte Vitale biométrique. Elle émet tout de même certaines réserves à ce projet :
Afin de simplifier l’accès à la base principale du Système national des données de santé (SNDS) à des fins de recherche, la CNIL a aussi adopté deux nouvelles méthodologies de référence en octobre. Elles permettent aux organismes publics et privés, à l’exception des assureurs, de traiter l’ensemble des données de la base principale du SNDS.
En outre, pour aider les acteurs du secteur social et médico-social, elle a publié deux documents en novembre:
À la suite d’un premier avis défavorable, la commission a autorisé le journal Le Point, en décembre, à traiter les données du programme de médicalisation des systèmes d'information (PMSI) des hôpitaux nécessaires à l’élaboration des trois prochains palmarès.
Enfin, dans le cadre de son activité répressive, la CNIL a sanctionné des organismes qui ne recueillaient pas le consentement des personnes pour traiter des données de santé et en a profité pour rappeler que le simple fait pour une personne de livrer spontanément de telles informations ne peut pas être considéré comme un consentement explicite. De plus, elle a sanctionné 8 organismes pour ne pas avoir fait droit à des demandes d’opposition et d’accès aux données. Parmi eux, 4 professionnels de santé n’avaient pas fait droit à des demandes de communication de données de santé, violant ainsi l’article 64 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.