Question de M. PLA Sebastien (Aude - SER) publiée le 14/10/2021
M. Sebastien Pla appelle l'attention de M. le secrétaire d'État auprès des ministres de l'économie, des finances et de la relance, et de la cohésion des territoires et des relations avec les collectivités territoriales, chargé de la transition numérique et des communications électroniques sur la multiplication des attaques de cybercriminels contre des hôpitaux (récemment la fuite des données de santé du Président de la République), qui témoignent de la vulnérabilité de la confidentialité des données à caractère personnel, numérisées ou mises en ligne. Il rappelle que les risques actuels qui pèsent sur la protection des données de santé sont bien avérés, et à ce jour non résolus. Pour illustration encore récente, la plainte de l'assistance publiquehôpitaux de Paris (AP-HP) suite au vol des données nominatives d'1,4 million de patients, confirme la violence et le danger des cyberattaques visant nos données de santé.
Il lui rappelle que la commission nationale de l'informatique et des libertés (CNIL) définit toute information qui renseigne sur l'état de santé passé, présent ou futur d'une personne comme une donnée de santé. Cela recouvre donc des résultats d'analyses, une date d'entrée ou de sortie de l'hôpital, toutes les traces d'une carte vitale
Toutefois, certaines données ne rentrent pas dans les données de santé : les data mesurées par les montres connectées, les pèse-personnes
sauf si elles sont croisées avec des données de santé.
Alors que s'est généralisée l'utilisation du pass sanitaire et que 45 millions d'utilisateurs français ont été encouragés à recourir à des plateformes de type doctolib lors de la campagne de vaccination contre la covid-19, un grand nombre de données de santé ont ainsi été confiées à des plateformes numériques privées.
Dès lors il l'interroge sur les risques qui pèsent sur ces données sachant que la plateforme Doctolib a été en première ligne lors de la campagne de vaccination, et que, en l'espèce, ce n'est pas Doctolib qui héberge nos données de santé, mais Amazon avec son service Amazon web services. Outre le fait qu'il pointe la position quasi-hégémonique de la plateforme Doctolib, il constate que celle-ci propose aussi, depuis peu, un système « Doctolib médecins » , logiciel dans lequel le praticien rentre non seulement l'identité du patient mais aussi toutes ses données médicales, après chaque consultation : antécédents, comptes rendus de scanners, d'imageries radio-médicales (IRM), d'échographie... autant de données censées être sécurisées mais qui se retrouvent dès lors en ligne.
Il estime qu'entre les attaques des cybercriminels, les fuites de données, celles obtenues sans le consentement éclairé des utilisateurs, celles exploitées par les groupes pharmaceutiques par l'intermédiaire de leurs clients et encore celles recueillies par Google, Apple, Facebook, Amazon et Microsoft (GAFAM) au moyen des objets connectés, il existe des menaces économiques réelles comme des risques de confidentialité majeurs, attachés au recours à ces plateformes, dont l'activité extrêmement lucrative n'est pas fondée sur une expertise médicale mais sur des algorithmes.
Il souligne qu'à ce jour l'espace santé numérique, s'il présente des avantages certains pour la coordination des soins, n'est pas suffisamment attractif comme peuvent l'être ces plateformes privées, et que la France accuse un retard numérique particulièrement important en la matière. Il lui demande dès lors quels moyens il compte mettre en œuvre pour sensibiliser les français à la protection de leurs données de santé à caractère personnel, et notamment s'il entend engager une campagne d'information et de débat public sur ces questions afin de s'assurer que nos concitoyens bénéficient du niveau d'information suffisant pour leur garantir la confidentialité de leurs données de santé.
- page 5886
Transmise au Première ministre
Réponse du Première ministre publiée le 23/06/2022
Les données à caractère personnel présentent de multiples attraits pour les attaquants. Leur vol motive donc une grande proportion des actions malveillantes, tant à finalité lucrative qu'à des fins d'espionnage. De surcroît, ces données sont régulièrement divulguées. L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a classé ces divulgations en quatre grandes catégories : les divulgations de données dans le cadre d'attaques par rançongiciels ; les divulgations motivées idéologiquement ("hacktivisme") ou dans le cadre d'opérations de déstabilisation ; les divulgations de données à des fins de revente ; les divulgations par négligence. En outre, les données personnelles compromises peuvent être réutilisées pour mener de nouvelles attaques, notamment par hameçonnage : les données personnelles fournissent des portes d'entrée aux attaquants et facilitent les cyberattaques. Au regard des risques décrits, la protection des données personnelles revêt une importance avérée. C'est pourquoi l'ANSSI concourt à la sécurisation des systèmes d'information hébergeant des données, notamment à caractère personnel, des individus, entreprises, administrations et collectivités auxquels elle fournit des ressources méthodologiques et pratiques, des recommandations et des outils. Elle met en uvre diverses mesures de responsabilisation des acteurs privés et promeut les offres numériques sécurisées, notamment en qualifiant des prestataires de produits et de services. Dans un contexte d'offre foisonnante, les visas de sécurité délivrés par l'ANSSI permettent d'identifier facilement les produits et services dont la fiabilité a été reconnue, à l'issue d'une évaluation rigoureuse. Au-delà de la sécurisation des données, la protection des données repose notamment sur la mise en oeuvre d'un certain nombre de principes dont la transparence et la licéité de la collecte et du traitement des données, le respect des droits des personnes physiques concernées, la limitation des finalités du traitement, la minimisation des données collectées ou encore l'encadrement de la durée de conservation des données. De nombreuses mesures visant à protéger les données des citoyens et des entreprises ont été mises en uvre, tant au niveau européen que national. En particulier, le règlement européen sur la protection des données (RGPD), entré en application le 25 mai 2018, vise à harmoniser les règles et les pratiques européennes applicables en matière de protection des données à caractère personnel et complète d'autres dispositifs règlementaires concourant au renforcement de la sécurité numérique limités à un nombre restreint d'organisations. La Commission nationale de l'informatique et des libertés (CNIL), autorité indépendante de contrôle pour la protection des données à caractère personnel en France est ainsi chargée de veiller à la bonne application du RGPD en France et d'accompagner les entités publiques et privées engagées dans leur démarche de mise en conformité avec le règlement. Elle effectue ainsi un travail majeur au profit de nos concitoyens en contrôlant la protection de leurs données personnelles d'exploitations diverses pour lesquelles ils n'auraient pas donné leur consentement. Elle rend également obligatoire l'information des citoyens dont les données personnelles ont été divulguées.
- page 3002
Page mise à jour le