Quelle ne fut pas notre surprise lorsque l’un de nos collaborateurs nous a annoncé avoir reçu de l’Assistance Publique – Hôpitaux de Paris (AP-HP) un mail intitulé « Information sur vos données ». Le contenu de ce courriel s’est révélé bien moins anecdotique que son objet. Notre camarade apprenait en ces termes avoir été victime d’une violation de ses données personnelles :

« Madame, Monsieur,

Vous avez effectué un test de dépistage Covid-19 dont le compte-rendu a été validé mi-2020.

Nous vous écrivons aujourd’hui afin de vous informer que le 12 septembre 2021, nous avons eu la confirmation d’une violation des données personnelles vous concernant. Sachez que nous en sommes vraiment désolés et nous vous prions de bien vouloir nous en excuser.

L’Assistance Publique – Hôpitaux de Paris – AP-HP – a été une victime d’une attaque informatique qui a porté sur un service sécurisé de partage de fichiers hébergé et utilisé par l’AP-HP. Ce service lui permet d’assurer le stockage et le partage sécurisé de fichiers, en interne et en externe. Des résultats d’examen de dépistage Covid-19 y étaient stockés, à titre exceptionnel.

Pour transmettre à l’Assurance Maladie et aux Agences Régionales de Santé ces données utiles au suivi et à l’accompagnement des personnes (contact tracing), ce service a été utilisé de manière très ponctuelle en septembre 2020, en complément du système d’information national de dépistage (SI-DEP), dont l’AP-HP assure la maîtrise d’œuvre pour le compte du ministère des Solidarités et de la Santé et qui rencontrait alors des difficultés techniques dans ses outils de transmission.

[…]

À ce stade, nous n’avons connaissance d’aucune réutilisation de ces données. Nous ne pouvons néanmoins pas garantir que ces fichiers ne soient pas partagés entre des personnes malveillantes […] »

En réalité, notre collègue ne représente qu’une des 1,4 million de personnes testées contre la Covid-19 et concernées par cette fuite de données. Au-delà de l’identité des intéressés, cette atteinte porte également sur les informations relatives à l’examen clinique qu’ils ont effectué et à son résultat – à savoir ni plus ni moins des données de santé.

Compte tenu de l’ampleur de cet incident et des données sensibles en jeu, ce courriel n’a pas manqué de nous interpeler. Et pour cause, ses multiples incohérences reflètent des dysfonctionnements inquiétants quant à la gestion des fichiers de dépistage…

? Pourquoi ces données ont-elles pu être stockées sur un autre service que le SI-DEP ?

Retour en arrière sur le création du fichier en question:

Créé au début de la crise sanitaire, le « Système d’Information de Dépistage » (SI-DEP) est une plateforme sur laquelle sont systématiquement enregistrés les résultats des tests réalisés par l’ensemble des laboratoires et hôpitaux concernant le SARS-COV2.

La finalité affichée de ce fichier est simple : centraliser les résultats de ces examens afin de lutter contre la propagation du virus.

A quoi sert SI-DEP ?

Il est entre autres utilisé pour :

  • Identifier et surveiller les personnes contaminées ;
  • Alerter les éventuels « cas contact » ;
  • Faciliter la communication d’informations entre les différents acteurs du système de santé (Assurance Maladie, Agences Régionales de Santé (ARS), etc.) ;
  • Réaliser des enquêtes statistiques pour suivre l’évolution de la pandémie.

? Pourquoi ces données étaient-elles encore conservées ?

Les principales caractéristiques et conditions de mise en œuvre du fichier SI-DEP sont définies par le décret n°2020-551 du 12 mai 2020. Étant précisé que ce texte a déjà fait l’objet de plusieurs modifications depuis son adoption.

Cette disposition règlementaire précisait dans sa version en vigueur en 2020, soit lorsque notre collègue s’est soumis à son dépistage Covid, que les données personnelles contenues dans le traitement SI-DEP ne pouvaient y être conservées plus de trois mois après leur collecte[1].

[1] La durée de conservation initiale de 3 mois des données personnelles contenues dans le fichier SI-DEP a depuis été portée à 6 mois, par décret n°2021-1058 du 7 août 2021

[1] La durée de conservation initiale de 3 mois des données personnelles contenues dans le fichier SI-DEP a depuis été portée à 6 mois, par décret n°2021-1058 du 7 août 2021

La violation de données notifiée par l’AP-HP est pourtant datée du 12 septembre 2021.

Comment expliquer alors que les informations relatives à l’examen clinique de notre collaborateur et des autres millions de personnes testées à la mi-2020 soient encore détenues par l’AP-HP ?

Sauf erreur de notre part, le délai maximum de conservation de trois mois impartis de ces données était alors largement atteint.

Force est de constater que si le ministère de la Santé respectait les règles qu’il s’est fixées pour assurer la protection des données personnelles contenues dans le fichier SI-DEP, et notamment sa politique de durée de conservation, un tel incident n’aurait pas été possible…

 ? Mais surtout, pourquoi ce courrier de notification de la violation de données est-elle émise par l’AP-HP ?

Le Règlement Général sur la Protection des Données (RGPD) distingue le responsable du traitement – qui détermine les finalités et les moyens du traitement de données – du sous-traitant, qui traite des données à caractère personnel pour le compte du responsable de traitement.

Conformément aux exigences de ce texte communautaire, la notification des personnes concernées par une violation de données relève en principe du seul rôle du responsable du traitement.

Le fait que l’Assistance-Publique-Hôpitaux de Paris (AP-HP) soit l’auteur du courriel adressé à notre collègue intrigue.

En effet, cet organisme y indique à juste titre assurer la maitrise d’œuvre du fichier SI-DEP « pour le compte du ministère des Solidarités et de la Santé ». Il revêt ainsi la qualité de sous-traitant de cette plateforme[2]. L’obligation d’information des victimes de l’incident incombait donc normalement au Ministre de la Santé, en sa qualité de responsable de traitement.

De nombreuses circonstances pourrait expliquer cette attribution inhabituelle reconnue à l’AP-HP.

Le Centre Hospitalier pourrait par exemple utiliser les données des examens pour mener à bien ses propres activités. Dans cette hypothèse, il deviendrait alors lui-même responsable de traitement et serait donc l’entité chargée d’informer la CNIL[3]  et les patients victimes de la violation de données.

Rien n’empêche également le gouvernement et l’AP-HP d’avoir prévu par contrat une répartition différente de ces responsabilités. L’AP-HP pourrait tout à fait avoir accepté d’accomplir personnellement les diligences à réaliser en cas de fuite de données du fichier SI-DEP.

Un tel arrangement se comprendrait d’ailleurs lorsque l’on connait les multiples missions dont est déjà investi le Ministère de la Santé en cette période de crise sanitaire.

[2] A ce titre, l’article 9 du décret n°2020-551 du 12 mai 2020 autorise la création d’un fichier SI-DEP « dont le responsable est le ministre chargé de la santé (direction générale de la santé) et dont l’Assistance publique-Hôpitaux de Paris assure, pour le compte de ce dernier, la gestion, en qualité de sous-traitant ».

[3] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

Dans ce dernier cas, une question demeurerait toutefois : pourquoi le formulaire transmis aux patients lors de leurs tests de dépistage les renvoie-t-il vers le Ministère des solidarités et de la santé pour exercer les droits dont ils disposent sur leurs données personnelles[4] ?

Ce détail qui n’en est pas un, inquiète quant à la conscience des divers intervenants à la gestion du fichier SI-DEP de leurs responsabilités respectives, et leur maitrise de la législation applicable en matière de protection des données.

[4] Telle que la mention d’information figurant dans le formulaire de pré-enregistrement pour la réalisation d’un examen de dépistage l’indiquait lorsque notre collègue a effectué son test à la fin de l’année 2020 : https://cdn.paris.fr/paris/2020/11/19/823a270a7436cba3968ac6340ae63213.pdf

Conclusion

Les questions posées dans cet article ne sont qu’un échantillon des multiples interrogations soulevées par l’administration hasardeuse des fichiers mis en œuvre pendant la crise sanitaire. Le peu de transparence sur leurs conditions de fonctionnement, dénoncé à maintes reprises par la CNIL à travers ses avis publics, est source de confusion pour l’ensemble des français.

Il apparait impératif que les choses soient clarifiées au plus haut sommet de l’État, afin d’éviter davantage de dérives…

Nous aidons quotidiennement les directions d’entreprise et autres entités dans l’instauration et le suivi de leurs traitements de données, afin d’empêcher la survenance de ce type de difficultés.

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.