La Cnil a fait le point sur sa surveillance étroite du traitement des données de santé, mardi 23 mai, dans le cadre de la présentation de son rapport annuel d'activité. Les contrôles seront renforcés tandis que les modifications du cadre légal d'utilisation des données par les organismes d'assurance maladie complémentaire sont toujours attendues.
« 2022 est une année charnière au cours de laquelle la CNIL achève les réformes nécessaires à la pleine mise en œuvre du RGPD et initie de nouvelles réformes, notamment en vue de la préparation du futur cadre réglementaire européen, dans un contexte d'exigences permanentes en matière de données », a déclaré Marie- Laure Denis, présidente de la Commission nationale de l'informatique et des libertés (Cnil). En 2022, le régulateur a mené un total de 345 inspections et prononcé 21 sanctions, pour un montant de 101,2779 millions d'euros.
Comme l'a rappelé le Président, la Cnil n'est pas seulement un policier, mais aussi un organisme de sensibilisation. Elle dispose également d'un Service des Relations Publiques (SRP) chargé d'informer les particuliers et les professionnels de leurs droits et obligations en matière de protection des données personnelles. Le secteur financier arrive en tête en termes de sujets de demande traités, représentant 45% des demandes provenant de la banque, du crédit et de l'assurance, suivi par l'emploi et les ressources humaines (11%), et même l'internet et le téléphone (8%).
Clarification du cadre juridique de l'OCAM en cours
« Les données de santé sont des données personnelles particulières car considérées comme sensibles. Elles bénéficient donc d'une protection particulière dans des textes (RGPD, loi informatique et libertés, loi de santé publique, etc.) qui garantissent le respect de la vie privée des individus », rappelle Marie-Laure Denis. La Cnil continue également d'autoriser les plateformes privées à traiter ces données. Les contrôles internes sur l'accès non autorisé aux hôpitaux seront renforcés. Il y a des vulnérabilités évidentes dans leur cybersécurité, c'est pourquoi nous sommes en dialogue permanent avec ces agences et le ministère de la Santé », a poursuivi le président, à l'heure où se développaient les dossiers médicaux partagés et l'espace numérique de la santé.
Concernant la complémentaire santé, la position de la CNIL est claire depuis plusieurs mois : il faut clarifier et sécuriser le cadre légal. Après avoir reçu des centaines de plaintes contre les mutuelles complémentaires (assurances, mutuelles, etc.) . Cependant, elle considère que le texte applicable à ces traitements est imprécis et appelle le gouvernement à clarifier le cadre légal dans les meilleurs délais. La CNIL a également écrit à l'OCAM fin 2022, les informant de son analyse, ainsi qu'au ministre de la Santé et de la Prévention. De son côté, l'OCAM appelle à plus de flexibilité.
Défi intelligence artificielle
Sujet incontournable de la présentation : l'intelligence artificielle (IA). En réponse, Personal Data Police rappelle que les futures réglementations IA n'ont pas vocation à se substituer à celles du RGPD, l'enjeu réside dans la façon dont les régulateurs articulent les deux textes. La définition du cadre permet de faire évoluer les systèmes d'IA dans le respect des droits et libertés des personnes, ce qui signifie qu'en aval, la Cnil contrôle la conformité. En ce sens, les régulateurs développeront des outils d'audit des systèmes d'IA afin d'établir des règles claires de protection des données personnelles des citoyens européens.