Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CNIL, Délibération du 6 février 2020, n° 2020-025
CNIL 6 février 2020

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Rejeté
    Non-conformité du périmètre d'hébergement

    La Commission a constaté que les données liées au service Office Exchange ne sont pas couvertes par la certification HDS, ce qui constitue une non-conformité aux exigences de sécurité.

  • Rejeté
    Devoir de conseil insuffisant

    La Commission a relevé que le candidat agit principalement comme une interface entre Microsoft et ses clients, sans fournir de conseils adéquats sur les exigences de sécurité.

  • Rejeté
    Absence de présentation de l'organisation du personnel

    La Commission a noté l'absence d'informations sur le personnel en charge de la sécurité, ce qui est essentiel pour évaluer la capacité du candidat à accompagner ses clients.

  • Rejeté
    Formation du personnel non conforme

    La Commission a constaté que le candidat ne respecte pas les exigences de formation spécifiques pour le personnel traitant des données de santé.

Résumé par Doctrine IA

La Commission nationale de l'informatique et des libertés (CNIL) a été saisie par la ministre des solidarités et de la santé pour donner un avis sur la demande d'agrément de la Centrale d'achat de l'informatique hospitalière (CAIH) pour l'hébergement de données de santé à caractère personnel. Les questions juridiques posées concernent la conformité des garanties de protection des données et de sécurité proposées par le candidat. La CNIL a conclu que le périmètre de l'agrément n'était pas conforme aux exigences, notamment en raison de l'absence de certification HDS pour certaines données et d'un manque de devoir de conseil du candidat. En conséquence, la Commission a émis un avis défavorable à la demande d'agrément.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Résumé de la juridiction

Délibération n° 2020-025 du 6 février 2020 portant avis sur la demande d’agrément présentée par la la Centrale d’achat de l’informatique hospitalière, candidate à l’hébergement de données de santé à caractère personnel (Saisine n° 18004560)

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CNIL, délib. n° 2020-025, 6 févr. 2020
Numéro : 2020-025
Nature de la délibération : Avis
État : VIGUEUR
Identifiant Légifrance : CNILTEXT000042105548

Texte intégral

La Commission nationale de l’informatique et des libertés,

Saisie pour avis par la ministre des solidarités et de la santé du dossier de demande d’agrément de la Centrale d’achat de l’informatique hospitalière, candidate à l’hébergement de données de santé à caractère personnel ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

Vu le code de la santé publique, notamment ses articles L. 1110-4, L. 1111-8 et suivants et R. 1111-1 à R. 1111-15-1 ;

Vu le code de la sécurité sociale, notamment son article L. 161-36-1 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le dossier et ses compléments ;

Sur la proposition de Mme Valérie PEUGEOT, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,

Formule les observations suivantes :

La Commission nationale de l’informatique et des libertés est saisie pour avis par la ministre des solidarités et de la santé, conformément aux dispositions de l’article R. 1111-10 du code de la santé publique, de la demande d’agrément présentée par la Centrale d’achat de l’informatique hospitalière, candidate à l’hébergement de données de santé à caractère personnel.

La Commission doit se prononcer, conformément auxdites dispositions, sur les garanties présentées par le candidat à l’agrément en matière de protection des personnes à l’égard des traitements de données de santé à caractère personnel et de sécurité de ces données .

La Commission rappelle que quel qu’ait été son avis, émis au vu du dossier qui lui a été communiqué, elle a le pouvoir de diligenter des contrôles auprès de tout responsable de traitement afin de procéder à toute opération de vérification nécessaire, conformément aux dispositions des articles 19 de la loi du 6 janvier 1978 modifiée et 16 et suivants du décret n° 2019-536 du 29 mai 2019 pris pour application de cette loi.

Emet dans ces conditions l’avis suivant :

Candidat hébergeur : Le candidat à l’agrément est la Centrale d’achat de l’informatique hospitalière (CAIH), une association loi de 1901 regroupant des établissements de santé, des établissements sociaux et médico-sociaux, des groupements constitués par ces établissements, ou des agences et établissements publics intervenant dans ces secteurs. Il compte 1150 membres.

Le candidat à l’agrément propose un service d’hébergement de données de santé à caractère personnel de la suite logicielle Office 365 de Microsoft.

Microsoft Ireland Operations Limited (MIOL) est identifié comme sous-traitant par le candidat.

Les services d’Office 365 objets de la présente demande d’agrément sont :

  • Exchange Online
  • SharePoint Online
  • Skype Entreprise Online
  • Project Online
  • Microsoft Teams
  • One Drive Entreprise
  • Ainsi que les briques technologiques Azure permettant d’assurer le bon fonctionnement de ces services à l’exception du service d’annuaire Active Directory.

L’hébergeur propose ce service à ses adhérents, qui sont des établissements publics de santé.

Le candidat ne propose pas de fonctionnalité d’accès direct aux données par les personnes concernées.
  • Le périmètre de l’agrément n’est pas conforme aux exigences de la Commission :
  • les données hébergées sont dans l’ensemble stockées dans des serveurs de Microsoft disposant de la certification HDS. Ce n’est cependant pas le cas pour les données liées au service Office Exchange qui sont stockées en Finlande et en Autriche et n’entre donc pas dans le périmètre couvert par la certification HDS de Microsoft ;
  • le périmètre exclut de façon explicite le service d’Active Directory d’Azure ( Azure AD ) permettant d’assurer la gestion de l’accès et des identités basés sur le Cloud Microsoft. Les services d’Office 365 proposés par le candidat ont cependant directement recours à l’Azure AD. Son absence du périmètre soulève des interrogations concernant les mesures associées, notamment la localisation des données d’authentification liées à l’Active Directory ;
  • le candidat ne remplit pas suffisamment son devoir de conseil concernant le paramétrage de l’Active Directory, de la télémétrie et d’une façon générale sur les mesures permettant d’améliorer la sécurité et de paramétrer les modules de sécurité fournis par le sous-traitant. En effet le candidat apparaît comme une simple interface entre le sous-traitant Microsoft et le client final. Or les services mis à disposition par Microsoft semblent relativement génériques et le candidat ne semble pas apporter d’éléments supplémentaires aux briques technologiques fournies par le sous-traitant. Il en résulte de nombreuses interrogations concernant le devoir de conseil du candidat qui reporte de nombreuses exigences de sécurité sur son client mais ne semble pas en mesure de pouvoir l’accompagner dans la mise en place de ces mesures ;
  • à titre d’exemples, le candidat reporte sur son client la mise en place d’une politique d’identification et d’authentification, de formations adaptées, de traçabilité des données, d’une politique de sauvegarde, de restauration et d’archivage, d’une politique de continuité d’activité et de reprise d’activité, d’une politique opérationnelle de sécurité applicable à son bastion ;
  • le candidat ne présente pas d’organigramme propre à son organisation. La présence d’un responsable de la sécurité des systèmes d’information (RSSI) au sein de l’organisation du candidat ou de celle du sous-traitant est mentionnée sans autres précisions. Des organigrammes présentant l’organisation du personnel du sous-traitant en charge sont présentés mais ceux-ci semblent être une équipe générique associée à Office 365 et n’incluent pas le médecin de l’hébergeur. Le personnel du candidat en charge d’accompagner le client n’est pas présenté ce qui renforce les doutes sur la capacité du candidat à accompagner ses clients ;
  • La politique de sécurité des systèmes d’informations est conforme aux critères exigés par la Commission.
  • La procédure de gestion du personnel et des habilitations est conforme aux critères exigés par la Commission, sous les réserves suivantes :
  • le candidat reporte sur son client la responsabilité de définir la politique de gestion des habilitations ;
  • le candidat indique que le personnel de Microsoft n’accède pas aux données des clients, ni aux données de santé hébergées. Ce point est applicable au personnel du C.A.I.H. . Toutefois le candidat indique dans sa documentation qu’un tel accès peut être permis en cas d’incident technique ou de sécurité. Le candidat présente de nombreuses garanties permettant d’encadrer ce type d’accès (gestion fine des habilitations, traçabilité renforcée, audits réguliers…) ;
  • de tels accès font l’objet d’une information du médecin de l’hébergeur qui dispose également d’un accès aux traces associées. De telles mesures semblent cependant trop permissives. Les éventuels accès aux données par le personnel de l’hébergeur en cas d’incident technique ou de sécurité doivent faire l’objet d’une information en amont du médecin de l’hébergeur et s’effectuer sous sa supervision directe ;
  • le candidat présente différentes catégories de personnes pouvant disposer d’un accès aux données sous les conditions évoquées ci-dessus. Les modalités d’accès et notamment le(s) lieu(x) depuis lequel s’effectuent ces accès ne sont pas précisés.
  • Le Plan de continuité d’activité est conforme aux critères exigés par la Commission sous les réserves suivantes :
  • le candidat met en place des mécanismes de chiffrement des sauvegardes permettant d’assurer la confidentialité et l’intégrité des données. La documentation semble indiquer que la gestion des clés de chiffrement est confiée au client, mais ce report n’est pas effectué contractuellement. Le devoir de conseil de l’hébergeur ne semble pas rempli à cet égard ;
  • l’emplacement d’hébergement des sauvegardes n’est pas mentionné de façon explicite au sein du dossier. Le candidat indique uniquement que les sauvegardes sont localisées au sein des centres de données Microsoft ;
  • une cellule de crise est présente au sein des équipes Microsoft. Celle-ci travaille de pair avec une cellule de crise au sein du candidat. Cependant les activités et les missions de ce dernier comité ne sont pas présentées.
  • La procédure de traçabilité est conforme aux critères exigés par la Commission.
  • Les droits des personnes concernées sont respectés conformément aux exigences de la Commission, sous les réserves suivantes :
  • le candidat doit prendre en compte dans l’ensemble des documents contractuels, la nouvelle rédaction de l’article L. 1111-8 du code de la santé publique, modifié par la loi n° 2016-041 du 26 janvier 2016 de modernisation de notre système de santé, qui a remplacé le recueil du consentement exprès de la personne concernée pour l’hébergement de ses données de santé par une information assortie d’un droit d’opposition.
  • le candidat doit annexer au contrat un modèle de note d’information conforme aux articles 13 et 14 du règlement général sur la protection des données et mentionnant les modalités d’exercice des droits de la personne concernée.
  • Le personnel concerné n’est pas formé conformément aux exigences de la Commission :
  • des formations suivies par le personnel de Microsoft sont présentées mais celles-ci ne mentionnent pas le caractère spécifique des données de santé ;
  • le candidat reporte sur son client la responsabilité de mettre en place des formations adaptés pour ses utilisateurs mais ne semble pas proposer de devoir de conseil à cet égard.

Avis de la Commission : Défavorable

Pour la Présidente

La Vice-Présidente déléguée

Sophie LAMBREMON

Décisions similaires

Citées dans les mêmes commentaires3

  • Consommation ·
  • Client ·
  • Mise en demeure ·
  • Quotidien ·
  • Durée de conservation ·
  • Traitement de données ·
  • Archivage ·
  • Abonnés ·
  • Absence de consentement ·
  • Collecte
4 commentaires
  • Données ·
  • Commission ·
  • Collecte ·
  • Plateforme ·
  • Traitement ·
  • Décret ·
  • Apprentissage ·
  • Réseau social ·
  • Utilisateur ·
  • Ministère
1 commentaire
  • Juriste ·
  • Sanction ·
  • Service ·
  • Conformité ·
  • Innovation ·
  • Technologie ·
  • Plainte ·
  • Contrôle ·
  • Protection des données ·
  • Système d'information

Citant les mêmes articles de loi3

  • Données biométriques ·
  • Commission ·
  • Traitement ·
  • Empreinte digitale ·
  • Décret ·
  • Durée de conservation ·
  • Finalité ·
  • Carte d'identité ·
  • Titre ·
  • Conservation
  • Déchet ·
  • Environnement ·
  • Commission ·
  • Video ·
  • Données ·
  • Contrôle ·
  • Traitement ·
  • Dispositif ·
  • Installation de stockage ·
  • Incinération
  • Fichier ·
  • Sportif professionnel ·
  • Ministère ·
  • Commission ·
  • Physique ·
  • Établissement ·
  • Traitement de données ·
  • Activité ·
  • Demande d'avis ·
  • Jeunesse

De référence sur les mêmes thèmes3

  • Traitement ·
  • Données ·
  • Commission ·
  • Sécurité publique ·
  • Collecte ·
  • Décret ·
  • Enquête ·
  • Fichier ·
  • Sûretés ·
  • Information
  • Formation restreinte ·
  • Cnil ·
  • Sociétés ·
  • Données ·
  • Traitement ·
  • Mot de passe ·
  • Manquement ·
  • Caractère ·
  • Site web ·
  • Web
11 commentaires
  • Jeux ·
  • Fichier ·
  • Commission ·
  • Interdiction ·
  • Traitement de données ·
  • Interdit ·
  • Opérateur ·
  • Personnes ·
  • Ministère ·
  • Sécurité

Sur les mêmes thèmes3

  • Directive (ue) ·
  • Information ·
  • Commission ·
  • Traitement de données ·
  • Service de renseignements ·
  • Blanchiment ·
  • Parlement européen ·
  • Parlement ·
  • Terrorisme ·
  • Soupçon
  • Retraite ·
  • Traitement de données ·
  • Commission ·
  • Fichier ·
  • Décret ·
  • Sécurité ·
  • Personne concernée ·
  • Dispositif ·
  • Durée de conservation ·
  • Caractère
  • Traitement ·
  • Système de contrôle ·
  • Mise en relation ·
  • Commission ·
  • Personne concernée ·
  • Véhicule ·
  • Fichier ·
  • Infraction ·
  • Immatriculation ·
  • Mise à jour

Textes cités dans la décision

  1. RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  2. Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  3. Loi n° 78-17 du 6 janvier 1978
  4. Décret n°2019-536 du 29 mai 2019
  5. Code de la santé publique
  6. Code de la sécurité sociale.
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
CNIL, Délibération du 6 février 2020, n° 2020-025
  1. Doctrine
  2. Décisions de justice
  3. 2020
  4. CNIL, délib. n° 2020-025, 6 févr. 2020
Contactez notre service commercial au 01 84 80 33 48