Le 19 mai dernier, la CNIL avait en catimini mis fin à sa doctrine exigeant une autorisation préalable à la mise en œuvre de dossiers médicaux partagés ou de systèmes de télémédecine ou d’éducation thérapeutique.

En contrepartie de cette excellente nouvelle, la Commission annonçait toutefois un durcissement de son niveau d’exigence quant au respect du droit de la protection des données personnelles par les responsables de traitement :

«  La CNIL se montrera également particulièrement vigilante sur les conditions de mise en œuvre des traitements de données de santé, notamment afin que le recueil du consentement s’effectue dans le cadre de la délivrance d’une information de qualité.  Elle renforcera également son contrôle en aval, afin de s’assurer du respect effectif de ses préconisations. »

 

Force est de constater que la CNIL n’avait pas menti.

Depuis quelques semaines, le durcissement de sa position est notable, et ce de trois façons :

  • En faisant désormais publier sa doctrine au Journal Officiel, pour lui assurer une valeur contraignante : dans une décision Allocab du 14 avril 2017, la Commission a ainsi indiqué qu’elle ne souhaitait pas imposer de manière anticipée à la société les dispositions de la recommandation Mots de Passe du 19 janvier 2017, laissant entendre qu’elle ne se priverait pas de l’imposer à l’avenir ;
  • En médiatisant davantage les sanctions prononcées : peut-être ne vous aura-t-il pas échappé que depuis le début de l’année, sur les 8 décisions de sanctions prononcées par la CNIL, un communiqué de presse a été publié pour 4 d’entre elles ;
  • En prononçant des sanctions financières relativement sévères : peut-être souriez-vous encore en pensant aux amendes de 150 000 euros infligées à Google en mars 2016 et, le 27 avril dernier, à Facebook. Des montants dérisoires, mais conformes au quantum maximal de la sanction. Pour autant, une amende de 10 000 euros à l’encontre d’un chirurgien-dentiste pour non-respect du droit d’accès et défaut de coopération avec la CNIL semble nettement moins dérisoire !

L’examen de ces quelques décisions de la CNIL témoigne d’une volonté de contraindre les responsables de traitement au respect des dispositions de la loi Informatique et Libertés. Cela ressort clairement de ce paragraphe désormais récurrent dans ses délibérations, destiné à justifier la sévérité des sanctions adoptées :

« [La CNIL] estime nécessaire de sensibiliser les personnes et les responsables de traitement aux droits et obligations issus de la loi Informatique et Libertés, en particulier, à l’importance de répondre aux demandes de la Présidente et de mettre effectivement en œuvre les mesures requises. »

Face à cela, on ne peut qu’inviter les responsables de traitement à auditer leurs traitements de données et ce non plus pour anticiper le RGPD, mais pour se prémunir d’une sanction de la CNIL.