Dernières actualités : données personnelles

L’Usine digitale

L’Assurance retraite touchée par une fuite de données, 370 000 bénéficiaires concernés

Après Boulanger, Cultura ou encore Truffaut, c’est au tour de la Caisse nationale d’assurance vieillesse d’être victime d’une fuite de données, via un portail destiné aux prestataires de l’action sociale des retraités. D’après l’organisme, les pirates informatiques se sont emparés des adresses et numéros de sécurité sociale de 370 000 bénéficiaires. L’Assurance retraite a en effet annoncé ce 13 septembre dans un communiqué avoir été la cible d’une fuite de données à travers le Portail partenaires de l’action sociale (PPAS), qui gère la facturation des prestataires de l’action sociale des retraités. “Des données personnelles (adresses, numéros de Sécurité sociale, montant approximatif des ressources) relatives à 370 000 bénéficiaires environ ont été compromises”, explique la Caisse nationale d’assurance vieillesse (Cnav).

La Cnav précise que les données personnelles subtilisées sont “pour la plupart anciennes”, ajoutant que certaines personnes concernées sont décédées. Elle insiste sur le fait qu’aucune donnée bancaire, ou relative au paiement, à la retraite ou à la carrière n’a été volée. Les pirates informatiques se sont introduits dans les systèmes en usurpant des comptes de prestataires utilisant le portail. À l’heure où nous écrivons ces lignes, le portail PPAS est toujours inaccessible, renvoyant sur une page de maintenance.

Disponible sur: usine-digitale.fr

CNIL

Données de santé : sanction de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ pour des traitements illicites

Ce 12 septembre 2024, la CNIL a annoncé avoir sanctionné la société CEGEDIM SANTÉ (éditeur de logiciels de gestion pour médecins) d’une amende de 800 000 euros, pour avoir notamment traité des données de santé sans autorisation.

Dans son communiqué la CNIL rappelle que la société CEGEDIM SANTÉ équipe, au total, environ 25 000 cabinets médicaux et 500 centres de santé utilisent ces logiciels. La société collectait des données de santé « anonymisées » relatives aux patients dont les médecins ont adhéré à son « observatoire ».  Les contrôles réalisés par la CNIL en 2021 ont notamment permis de révéler que la société avait traité sans autorisation ces données de santé de manière non anonymisée,  celles-ci étant transmises à ses clients en vue de produire des études et des statistiques dans le domaine de la santé. En effet, les agents de la Commission se sont aperçus que les données étaient « seulement » pseudonymisées, et restaient à ce titre des données à caractère personnel (de santé). Partant, elle a constaté que l’entrepôt de données de santé créé par CEGEDIM n’avait pas fait l’objet d’une déclaration de conformité à l’un de ses référentiels et n’avait pas non plus fait l’objet d’une demande d’autorisation.

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a prononcé une amende de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ, au regard des capacités financières de la société, de la gravité des manquements retenus, du caractère massif du traitement et du fait que les données concernées sont des données de santé, donc des données sensibles.

Disponible sur: CNIL.fr. La décision complète est également disponible.

L’Usine digitale

L’AP-HP victime d’une panne informatique, des applications internes hors-service

Le CHU d’Île-de-France a été touché par une panne informatique le 3 août au matin en raison d’un défaut électrique sur un prestataire hébergeant une partie de ses serveurs. Les applications internes à certains établissements, les messageries et la téléphonie ont été impactées. Un retour à la normale est attendu ce lundi. Le CHU explique dans un communiqué que la panne informatique est due à un défaut électrique “qui a touché le prestataire en charge de l’hébergement d’une partie de ses serveurs”. La panne chez l’hébergeur est survenue vers 11 h et a été résolue vers 14 h, mais les 38 hôpitaux d’Île-de-France en subissent toujours les effets. L’AP-HP espérait un rétablissement complet dimanche après-midi, avant de reporter le retour à la normale à ce lundi.

Disponible sur: usine-digitale.fr

Conseil d’Etat

Le Conseil d’Etat saisit le Conseil constitutionnel d’une QPC concernant le « dossier médical partagé » (DMP)

« Par un mémoire et un mémoire en réplique, enregistrés les 21 mars et 24 mai 2024 au secrétariat du contentieux du Conseil d’État, le Conseil national de l’ordre des médecins demande au Conseil d’État, en application de l’article 23-5 de l’ordonnance n° 58-1067 du 7 novembre 1958 et à l’appui de sa requête tendant à l’annulation pour excès de pouvoir de l’arrêté du 26 octobre 2023 du ministre de la santé et de la prévention fixant les règles de gestion des droits d’accès au dossier médical partagé des professionnels mentionnés à l’article L. 1111-15 et au III de l’article L. 1111-17 du code de la santé publique, de renvoyer au Conseil constitutionnel la question de la conformité aux droits et libertés garantis par la Constitution du III de l’article L. 1111-17 de ce code. »

Nous ne disposons pas du détail des moyens qui ont été soulevés mais cette QPC semble vouloir remettre en cause la possibilité pour « tout professionnel participant à la prise en charge d’une personne », en ce compris ceux ne faisant pas partie de l’équipe de soins du patient, d’accéder à ses données de santé (sous réserve de l’obtention de son consentement).

Disponible sur: conseil-etat.fr

Agence du numérique en santé (via Légifrance)

Publication du nouveau référentiel « HDS », c’est-à-dire les règles à respecter pour l’hébergement des données de santé

Le 16 mai dernier, a été publié au Journal Officiel la dernière version du référentiel de l’agence du numérique en santé concernant l’hébergement des données de santé. D’après les évolutions telles que présentées dès décembre 2023 par l’ANS, ette nouvelle version du référentiel de certification HDS permet de :

  • Renforcer de manière progressive la souveraineté des données avec de nouvelles exigences pour renforcer les garanties en termes de protection (voir focus ci-après) ;
  • Clarifier le périmètre des types d’activité d’hébergement – notamment l’activité dite “5” concernant l’administration et l’exploitation, qui faisait l’objet d’interrogations, et sur laquelle un consensus général a été trouvé – et renforcer la transparence des hébergeurs sur les types d’activités sur lesquelles ils sont certifiés ;
  • Préciser l’articulation entre les exigences de la certification HDS et celles de la certification SecNumCloud proposée par l’ANSSI.
  • Intégrer dans le référentiel de certification HDS certaines évolutions de la norme ISO 27001.

La publication de cet arrêté approuvant la version révisée du référentiel marque la fin d’une période de 3 mois suivant sa notification à la Commission européenne. Les organismes certificateurs bénéficient désormais d’un délai de six mois pour adapter leur procédure de certification au nouveau référentiel HDS.

Disponible sur : legifrance.gouv.fr

L’Usine digitale

Cyberattaque à l’hôpital de Cannes : les hackers de LockBit publient 61 gigaoctets de données

L’hôpital Simone-Veil, à Cannes, avait été touché le 16 avril par une cyberattaque. Le groupe de hackers LockBit avait revendiqué l’opération et émis une demande de rançon expirant le 1er mai au soir. Ce matin, 61 gigaoctets de données personnelles de patients et d’agents publics (des bilans de santé, psychologiques, …), et de données relatives au fonctionnement de l’hôpital, ont été publiés sur le dark web.

Disponible sur: usine-digitale.fr

CNIL

Vidéosurveillance dans les chambres d’Ehpad : la CNIL publie sa recommandation

À la suite de la médiatisation de cas de maltraitance au sein d’établissements d’hébergement pour personnes âgées dépendantes (Ehpad), la CNIL a été saisie de plusieurs demandes de conseil concernant l’installation de dispositifs de vidéosurveillance dans les chambres des résidents de ces établissements. Afin de répondre à ces préoccupations, la CNIL a ainsi soumis un projet de recommandation à une consultation publique en 2023. Les nombreuses contributions reçues lui ont permis de mieux comprendre les préoccupations du public et les besoins du secteur, et d’enrichir sa recommandation définitive. Cette recommandation rappelle notamment que les Ehpad ne sont pas censés installer des dispositifs de vidéosurveillance dans les chambres des résidents, sauf circonstances exceptionnelles.

Disponible sur: CNIL.fr

HAAS Avocats

Tests génétiques en ligne : quels risques pour nos données personnelles ?

Tests génétiques en ligne : quels risques pour nos données personnelles ?

Par Haas Avocats

Les données de santé sont des données particulièrement sensibles. A ce titre, elles bénéficient d’une protection renforcée par le RGPD1. Les données génétiques et biométriques n’échappent pas non plus à cette protection.

Disponible sur: haas-avocats.com

L’Usine digitale

Une cyberattaque touche l’hôpital de Cannes, les opérations non urgentes reportées

Selon une information de France 3 relayée par l’Usine Digitale, le centre hospitalier Simone-Veil, à Cannes, est victime d’une cyberattaque paralysant ses systèmes. Une cellule de crise a été activée, et toutes les opérations non urgentes, “n’entraînant pas de perte de chance” sont reportées jusqu’au retour à la normale. “Les professionnels médicaux, non médicaux, logistiques, administratifs et techniques sont mobilisés pour mener les investigations nécessaires”, explique l’hôpital de Cannes. À ce stade, l’établissement de santé parle d’“incident technique”.

Disponible sur: usine-digitale.fr

HAAS Avocats

Un accès au dossier patient informatisé surveillé par la CNIL !

Un accès au dossier patient informatisé surveillé par la CNIL !

Par Haas Avocats

Plusieurs établissements de santé ont été mis en demeure par la CNIL de mettre en place les mesures nécessaires pour garantir la sécurité du dossier patient informatisé (DPI), soulignant, en adéquation avec le principe de minimisation[1], que les données des patients ne doivent être accessibles qu’aux personnes justifiant le besoin d’en avoir connaissance.

Disponible sur: haas-avocats.com

Retour en haut