Journal de l'économie

Envoyer à un ami
Version imprimable

Contrôles de la CNIL : toutes les entreprises sont concernées





Le 11 Mars 2021, par Alexandre Mandil


Pleinement impliqués dans la lutte contre la pandémie mondiale de COVID-19, les établissements de santé français sont plus que jamais la cible des cyberattaques au « rançongiciel » qui affectent directement les données de santé des patients et peuvent entraîner le report de certaines interventions. Profitant des vulnérabilités des systèmes d’information (SI) de ces établissements mises en exergues par l’ANSSI dans un rapport du 22 février dernier sur « l’état de la menace cyber sur les établissements de santé », ces attaques ont conduit le président de la République, Emmanuel Macron, a annoncé un plan de riposte d’un milliard d’euros pour renforcer la cybersécurité des systèmes sensibles.


Contrôles de la CNIL : toutes les entreprises sont concernées
De fait, les attaques sur des établissements de santé (centre hospitalier, clinique, EPHAD, maison de santé, établissements de soin, laboratoires, etc.) ont été multipliées par trois en 2020 et semblent s’accélérer depuis le début de l’année 2021.
C’est dans ce contexte préoccupant en matière de cybersécurité et de protection des données de santé que la CNIL a publié le 2 mars dernier ses thématiques prioritaires de contrôle pour l’année 2021  : les données de santé, la cybersécurité et les cookies.
 
Les données de santé
Compte tenu du contexte sanitaire et de leur sensibilité particulière, la CNIL a choisi de conserver les données de santé dans sa liste des thématiques de contrôle jugées prioritaires pour l’année 2021. Bénéficiant d’une protection renforcée dans le Règlement européen sur la protection des données personnelles (RGPD), ces données figuraient déjà dans la liste des thématiques de contrôle jugées prioritaires en 2020.
 
Au-delà de la crise sanitaire, la CNIL est préoccupée par la numérisation de plus en plus massive des données de santé (notamment des dossiers des patients) et souhaite accélérer ses contrôles pour vérifier la conformité des acteurs du secteur à la règlementation française et européenne en vigueur et les pousser à élever le niveau de sécurité des données de santé des personnes.
 
L’essor de la vaccination pose également la question de la conformité et de la fiabilité des plateformes destinées aux prises de rendez-vous. Doctolib, plateforme choisie par l’État français, est accusé de sauvegarder les données sur un serveur d’Amazon (certifié HDS) aux États-Unis, jugé insuffisamment protecteur des données de santé. En effet, un référé liberté a été déposé devant le juge administratif par plusieurs associations et syndicats de médecins pour demander l’annulation du contrat qui lie Doctolib et l’État. Ils s’appuient notamment sur l’invalidation par le juge européen en juillet 2020 d’un des mécanismes permettant le transfert de données personnelles vers les États-Unis, le « Privacy shield ».  
 
Cette affaire n’est d’ailleurs pas sans rappeler la polémique soulevée par la Plateforme des données de santé (PDS), également appelée « Health Data Hub » (HDH), créée afin de faciliter le partage des données de santé issues de sources variées afin de favoriser la recherche qui a contraint le gouvernement français à annoncer la fin de l’hébergement par Microsoft du Health Data Hub d’ici… deux ans. La CNIL a récemment rappelé son souhait que son hébergement et les services liés à sa gestion soient gérés par des entités relevant exclusivement des juridictions de l’Union européenne.
 
La CNIL est également à l’origine d’une récente décision du Tribunal Judiciaire de Paris demandant aux principaux fournisseurs d’accès à internet (FAI) de bloquer l’accès à un site internet hébergeant un fichier comprenant des données relatives à près de 500 000 patients et notamment des données de santé. L’intervention de la CNIL fait suite à trois opérations de contrôle menées en réaction à la publication d’une enquête réalisée par le journal Libération révélant fin février 2021 que ces données s’échangent gratuitement dans des communautés en ligne de cybercriminels. La CNIL poursuit actuellement ses investigations afin de constater si les mesures techniques adéquates ont été prises et ce, afin de maximiser la sécurisation des données.
 
L’action de la CNIL ne se limite d’ailleurs pas aux entreprises et administrations publiques. Deux médecins ont ainsi été sanctionnés à hauteur de 3 000 et 6 000 euros d’amende pour avoir insuffisamment protégé les données de santé de leurs patients (défaut de chiffrement) et ne pas avoir notifié une violation de données à la CNIL.
 
La cybersécurité
Outre la thématique des données de santé, la CNIL a choisi d’accentuer ses contrôles sur le respect des mesures de cybersécurité en général. La mise en œuvre de mesures de sécurité techniques et organisationnelles visant à préserver la confidentialité et l’intégrité des données personnelles constitue en effet l’un des principes essentiels du RGPD.
La CNIL déplore en particulier une augmentation de 24 % des violations de données en 2020 et a rappelé que les deux tiers des sanctions qu’elles prononcent visent des manquements à l’obligation de sécurité des données. La CNIL entend en réaction accentuer ses contrôles pour lutter contre les défauts de sécurité des sites internet qui sont régulièrement à l’origine des violations de données.
À ce titre, la CNIL contrôlera le niveau de sécurité des sites internet français les plus utilisés dans différents secteurs en portant une attention plus particulière sur l’utilisation du protocole HTTPS, le recours à des mots de passe solides conformes aux recommandations de la CNIL et la stratégie mise en place pour se prémunir contre les rançongiciels.
Les attaques par rançongiciels (ou « ransomwares ») connaissent en effet une augmentation sans précédent, tant en nombre qu’en fréquence et en sophistication et constituent un risque très important pour les entreprises et les administrations françaises. En 2020, l’ANSSI a ainsi noté une augmentation de 255 % des signalements d’attaque par rançongiciel par rapport à 2019..
C’est dans ce cadre que la CNIL a participé à l’élaboration d’un guide de sensibilisation destiné aux entreprises et aux collectivités en collaboration avec l’ANSSI et le ministère de la Justice afin de sensibiliser une plus grande audience à cette préoccupante question des rançongiciels.
 
Les cookies et traceurs
La CNIL a également décidé d’inclure les cookies et traceurs dans sa liste des thématiques prioritaires pour 2021. Elle constate en effet que plus d’une centaine d’acteurs privés, disposant de sites web à forte audience, déposent encore des cookies sans consentement préalable et que plus de 200 acteurs publics ne respectent pas les dispositions légales applicables aux cookies.
La CNIL compte en effet renforcer ses contrôles à la suite de la fin annoncée de la période transitoire de mise en conformité avec la réglementation dédiée aux cookies le 31 mars prochain. En effet, lors de la publication en octobre 2020 de ses nouvelles lignes directrices et de sa recommandation qui interprètent la règlementation applicable aux cookies (Directive ePrivacy) à la lumière des principes du RGPD, la CNIL avait annoncé laisser 6 mois aux organismes privés et publics pour se mettre en conformité.
La CNIL a annoncé que ses contrôles porteront principalement sur les règles relatives au recueil du consentement, la présence d’un bouton « j’accepte » et « je refuse » sur le même niveau et la présence du détail des finalités des cookies utilisés.
La CNIL n’a toutefois pas attendu la fin de la période transitoire pour amorcer les sanctions. En effet, des sanctions records ont été prononcées en décembre 2020 par la CNIL contre deux GAFAM pour divers manquements aux obligations relatives aux cookies (35 millions d’euros contre Amazon et 100 millions d’euros contre Google, sanction confirmée la semaine dernière par le Conseil d’État suite à la contestation de Google). Quelques semaines plus tôt, la CNIL avait également sanctionné deux sociétés du groupe Carrefour à hauteur de 3 millions d’euros, notamment pour des manquements relatifs aux cookies.
La CNIL n’hésite d’ailleurs pas à rendre publiques les sanctions qu’elle prononce, ce qui constitue un risque réputationnel non négligeable (et parfois même plus grave que le montant de la sanction elle-même) que les entreprises doivent impérativement prendre en compte.
Le renforcement progressif des sanctions et le programme chargé de contrôle de la CNIL pour 2021 signent clairement la fin de la période de tolérance décrétée par la CNIL suite à l’entrée en application le 25 mai 2018 du RGPD et rappellent à l’ensemble des acteurs français, indépendants, PME (certaines PME ont déjà été sanctionnées à hauteur de 2 % de leur chiffre d’affaires annuel), grands groupes français, GAFAM et secteur public (la récente sanction du ministère de l’Intérieur pour avoir utilisé de manière illicite des drones pour surveiller le respect des mesures de confinement en est une bonne illustration) que la protection des données personnelles nous concerne tous !
 
Alexandre Mandil
Avocat au barreau de Paris - Membre de Lex-Squared
 


France | International | Entreprises | Management | Lifestyle | Blogs de la rédaction | Divers | Native Advertising | Juris | Art & Marché | Prospective | Industrie immobilière | Intelligence et sécurité économique - "Les carnets de Vauban"














Rss
Twitter
Facebook