Régulation - La CNIL au chevet des données de santé

La Commission nationale de l’informatique et des libertés (CNIL) devrait prochainement recevoir le projet de décret prévu à l’article L. 1461-7 du Code de la santé publique encadrant les modalités d’accès aux données du Système national des données de santé (SNDS). Voilà une nouvelle qui rassurera peut-être les signataires de la tribune parue le 10 décembre dans le quotidien «Le Monde». Ce collectif de professionnels de santé et de l’informatique médicale s’inquiète du fait que les données du «Health data hub» (HDH) seront stockées par Microsoft Azure, cloud public du groupe américain éponyme. Le HDH est une plateforme censée développer l’application de l’intelligence artificielle aux données de santé. Sa création a été entérinée par la loi relative à l’organisation et la transformation du système de santé du 24 juillet dernier. Le futur décret modifiera les dispositions contenues dans le décret 2016-1871 du 26 décembre 2016 relatif au traitement de données à caractère personnel (SNDS) publié dans le sillage de la loi de modernisation du système de santé de 2016. Il précisera les garanties encadrant l’accès à ces données.

Autre sujet qui suscite des interrogations de la part du collectif : la portée du Cloud Act américain qui permet à la justice américaine d’avoir accès à des données stockées dans des pays tiers lors de procédures judiciaires. «S’il peut être légitime et compréhensible de s’interroger sur le fait que l’hébergement ait été confié à un prestataire américain plutôt qu’à un hébergeur français, il est excessif de prétendre que le Cloud Act permettrait une rupture du secret médical et un accès sans conditions aux bases de données de santé. Son rayon d’action est limité à des procédures judiciaires et l’accès aux bases de données de santé revêtant un caractère personnel est très encadré en Europe et en France par le RGPD et par la loi», observe Jeanne Bossi Malafosse, associée responsable du département données personnelles et coresponsable du département sciences du vivant chez Delsol avocats. Pour mémoire, Microsoft a obtenu la certification hébergeur de données de santé pour ses data centers français le 5 novembre 2018. OVH, acteur du cloud européen, l’a décroché en mai dernier.

«Juridiquement et techniquement, nous avons tout ce qu’il faut pour protéger l’accès aux données de santé à caractère personnel, que ce soit en termes de référentiel de sécurité ou d’évolutions des normes d’interopérabilité», souligne Jeanne Bossi Malafosse. Pour autant, si les dispositifs et la réglementation existent bel et bien, leur mise en œuvre peut parfois s’avérer déficiente, les brèches de sécurité venant plus souvent d’une défaillance interne au sein des établissements de santé eux-mêmes. «Il n’est pas toujours aisé de mettre d’accord les acteurs de la santé qui représentent un paysage fragmenté entre médecine de ville, hôpitaux, syndicats et représentations professionnelles», reconnaît au demeurant l’avocate qui a été par le passé secrétaire général de l’Agence nationale des systèmes d’information partagés de santé (ASIP Santé).

AMF - Bloomberg condamnée à 5 millions d’euros d’amende pour diffusion de fausses informations

Trois ans après l’affaire du faux communiqué de presse de Vinci, une première sanction vient de tomber, non pas à l’encontre des auteurs de la fraude, à ce jour inconnus, mais à l’encontre de Bloomberg. L’agence de presse est condamnée, par la Commission des sanctions de l’AMF, à verser une amende de 5 millions d’euros pour «avoir diffusé des informations qu’elle aurait dû savoir fausses et susceptibles de fixer le cours du titre Vinci à un niveau anormal ou artificiel», méconnaissant ainsi la réglementation en vigueur sur les abus de marché.

Pour rappel, le 22 novembre 2016, un faux communiqué est adressé, au nom de Vinci, à différents médias pour annoncer une révision des comptes suite à la découverte de graves irrégularités comptables, ainsi que le licenciement du directeur financier. Une minute plus tard, l’information est diffusée par le bureau parisien de Bloomberg, avant d’être également relayée par d’autres titres de presse, entraînant une chute du cours du titre du groupe de 18,28 %. L’agence supprimera les dépêches et diffusera des rectificatifs à partir de 16h14, soit dix minutes après le début des faits.

Pour justifier sa décision, la Commission des sanctions souligne l’absence de vérification par l’agence «alors même que ce communiqué, qui comportait plusieurs inexactitudes, adressé à Bloomberg en cours de séance de Bourse et faisant état d’informations d’une grande gravité, laissant présager une chute brutale et immédiate du cours de Bourse, appelait à une vigilance accrue de la part des journalistes». Bloomberg a annoncé son intention de faire appel.