La Commission nationale de l’informatique et des libertés (CNIL) a publié, le 23 avril 2024, son rapport d’activité pour 2023 marqué par un nombre record de plaintes déposées.
La CNIL a ainsi enregistré pas moins de 16433 plaintes l’an dernier pour signaler un manquement à la réglementation sur la protection des données personnelles (RGPD), soit 35% de plus qu’en 2022. 3% d’entre elles avaient trait au secteur de la santé, loin derrière les 18% relatives au travail ou au commerce et les 35% concernant l’internet ou la téléphonie. En parallèle, sur les 47111 réponses apportées au public, 9% avaient trait à la santé ou au social contre 15% au travail ou aux RH et 19% à la banque, au crédit ou à l’assurance.
S’agissant des données de la santé, la CNIL a adopté en 2023 deux nouvelles méthodologies de référence en vue de simplifier l’accès des chercheurs issus d’organismes publics ou privés à la base de données du Système national des données de santé (SNDS) à des fins de recherche. Toutefois, les assureurs en sont toujours exclus.
Par rapport à la dématérialisation de la Carte vitale, la CNIL a rappelé qu’elle n’était pas favorable à la mise en place d’une carte Vitale biométrique, vu les difficultés de déploiement des dispositifs de contrôle que cela nécessiterait auprès les professionnels de santé. La fusion de la Carte Vitale et de la carte nationale d’identité (CNI) constitue, selon la Commission, le scénario le moins intrusif et le moins risqué parmi ceux envisagés, à condition que le numéro de Sécurité sociale ne soit lisible que par les outils et acteurs intervenant pour la prise en charge sanitaire de la personne et que des alternatives soient prévues dès lors que la détention d’une carte vitale n’est pas obligatoire et que tous les assurés sociaux ne disposent pas d’une CNI.
Afin d’accompagner les services de prévention et de santé au travail (SPST) dans leur mise en conformité, la CNIL a élaboré un guide de sensibilisation au RGPD.
Au chapitre des sanctions, La CNIL a visé plusieurs organismes qui ne recueillaient pas le consentement des personnes pour traiter des données de santé dites « sensibles ». Le fait pour une personne de livrer spontanément de telles informations ne peut pas être considéré comme un consentement explicite, souligne la CNIL.