La CNIL vient de communiquer sur l’avertissement qu’elle a prononcé envers un hébergeur agréé de données de santé. Cette annonce atteste du sérieux et de la neutralité de la CNIL dans l’exécution de ses missions.

L’AFHADS souhaite apporter quelques précisions.

La CNIL, en sanctionnant une inadéquation entre la déclaration faite dans le cadre de l’agrément et la réalité de ce qu’elle a constaté est parfaitement dans son rôle. L’AFHADS ne perçoit pas cette annonce comme la sanction d’une volonté de mal agir, mais comme une étape normale dans les démarches d’amélioration continue de la qualité et de la sécurité qu’impose l’agrément.

La sanction de la CNIL ne signifie toutefois pas une absence de sécurité. L’agrément ne repose pas sur l’adoption de telle ou telle solution technique, mais sur la mise en place par l’hébergeur d’un système de management de la sécurité de l’information, assurant en continu:

• l’évaluation objective des risques portant sur la sécurité des données,
• la mise en oeuvre de solutions contractuelles, organisationnelles ou techniques pour répondre aux risques inacceptables.

Le chiffrement des données est une mesure possible pour répondre à certains risques de divulgation. Ce n’est ni la seule, ni même la meilleure dans le cas où les données doivent être de toute façon déchiffrées localement, ce qui est le cas pour tous les sites Web. La faute de l’hébergeur sanctionné n’est pas de n’avoir chiffré que certaines données, mais de ne pas être conforme au dossier qu’il a remis. Cette non conformité peut elle-même être critique ou pas, selon son impact sur les risques compte tenu des autres mesures prises par l’hébergeur, sachant que ces mesures doivent être réévaluées régulièrement chez tous les hébergeurs et font l’objet d’un rapport écrit déposé au minimum une fois par an auprès du Comité d’Agrément.

Il ne s’agit pas ici de dédouaner un hébergeur, mais au contraire de souligner l’importance même de l’agrément et des modalités de contrôle qu’il prévoit. Toute communication qui conduirait à discréditer la démarche d’agrément ne serait pas un progrès. Au contraire, elle favoriserait les sociétés qui proposent actuellement des hébergements de données de santé hors de tout agrément et malheureusement hors de tout contrôle.