Cyberattaque chez Cegedim : la case "commentaires" est un risque que les entreprises sous-estiment

Alexandra Iteanu
Iteanu avocats

Une cyberattaque rappelle que le principal risque ne vient pas toujours des données collectées, mais des annotations internes. Les champs de "commentaires libres " créent un risque juridique majeur.

Après les révélations récentes concernant l’extraction de données issues du Fichier des comptes bancaires (Ficoba), c’est désormais l’éditeur de logiciels médicaux Cegedim qui se retrouve sous le feu de l’actualité. Une cyberattaque survenue en décembre dernier contre le logiciel MLM (MonLogicielMedical.com) aurait conduit au vol de données de près de 15 millions de Français.

Dans son communiqué du 26 février, l'éditeur de logiciel en santé indique que les informations issues du "dossier administratif du patient" ont été consultées, voire extraites : nom, prénom, sexe, date de naissance, téléphone, adresse, email, mais aussi un élément plus discret et pourtant juridiquement bien plus sensible : les "commentaires administratifs en texte libre à la discrétion des médecins". L’éditeur précise que ce champ a pu contenir, pour un nombre limité de patients, des annotations personnelles comportant potentiellement des informations sensibles. Ces zones de commentaires libres sont un enjeu important pour les organismes, et doivent être traités avec beaucoup de prudence.

 La zone "commentaire libre" : une fonctionnalité banale, mais à haut risque

De nombreux organismes — entreprises, administrations, établissements de santé — utilisent des formulaires comprenant des champs de texte libre, parfois appelés "bloc-notes". Ils servent en général au suivi interne - relation client, gestion des incidents, recouvrement, ou encore suivi médical. Ces zones de commentaires offrent ainsi une liberté rédactionnelle totale aux auteurs de ces fichiers. L’organisme a donc en pratique une maitrise limitée de ce contenu saisi.  

Contrairement aux données personnelles directement collectées auprès des personnes concernées (nom, date de naissance, numéro client), la zone de commentaire permet l’insertion d’appréciations subjectives par son auteur : opinions personnelles, hypothèses, jugements de valeur, voire propos excessifs. Ces mentions peuvent porter atteinte à la vie privée, être diffamatoires, ou révéler indirectement des informations particulièrement sensibles.

La CNIL surveille depuis longtemps ces pratiques. Dès 2010, elle avait sanctionné deux études d’huissiers de justice (aujourd'hui commissaires de justice) pour la conservation, dans leurs fichiers débiteurs, de commentaires subjectifs ou injurieux. D’autres organismes ont également été rappelés à l’ordre pour des annotations déplacées dans des fichiers clients.

RGPD: les réflexes juridiques indispensables

L’existence d’une zone de texte libre constitue un traitement de données à caractère personnel au sens du règlement (UE) 2016/679 dit "RGPD". Ce traitement emporte donc plusieurs obligations que devra mettre en place l’organisme concerné, notamment :

  1. L’obligation d’information préalable : la personne concernée doit être informée que des informations la concernant peuvent être inscrites dans un fichier comportant des commentaires rédigés par un professionnel. L’exigence de transparence prévue par les articles 12 à 14 du RGPD s’applique pleinement, et doit être délivrée en amont.
  2.  La base légale du traitement : avant toute inscription dans une zone de commentaire, le responsable de traitement doit être capable d’identifier une base légale : exécution d’un contrat, obligation légale, intérêt légitime, ou, dans certains cas, consentement. Il revient en pratique à l’organisme à l’origine de la création de ces fichiers de réfléchir à cette base légale et à encadrer l’utilisation de ces documents par ses collaborateurs.
  3. L’exercice effectif des droits : les données contenues dans un champ libre restent soumises aux droits conférés par le RGPD (accès, rectification, effacement, limitation, etc). Or, beaucoup d’organisations découvrent tardivement une difficulté opérationnelle majeure : elles ne savent pas rechercher efficacement ces informations dans leurs propres systèmes, ni comment les exporter ou les supprimer.
  4. La formation des utilisateurs : C’est probablement la mesure la plus importante. Les collaborateurs doivent être sensibilisés : une zone commentaire n’est pas un espace privé. C’est une base de données qui est susceptible d’être rendue publique, et communicable à la personne concernée, à la CNIL, voire au juge.

D’autres mesures seront préconisées ensuite selon l’organisme ou le traitement concerné, notamment en matière de durée de conservation, ou encore de mesures de sécurité spécifiques à implémenter.

Une vigilance renforcée pour les données de santé

Ces zones de commentaires sont d’autant plus encadrées lorsqu’il s’agit de données sensibles comme les données de santé. Rappelons que, par principe, le RGPD interdit le traitement de ce genre de données, sauf dans des cas précisés à l’article 9-2, notamment lorsque le patient a donné son consentement exprès, ou que le médecin traite ces données dans le cadre de son diagnostic.

Or une zone de texte libre peut facilement contenir des informations excédant ce qui est strictement nécessaire à la prise en charge du patient. Une remarque apparemment anodine peut révéler indirectement une pathologie, une situation familiale ou sociale, voire des éléments intimes de la vie privée. La CNIL recommande ainsi l’utilisation de formulations neutres et objectives — par exemple "hospitalisation" ou "affection longue durée" — sans mention détaillée de la pathologie lorsqu’elle n’est pas indispensable à la finalité du traitement.

Ce que révèle l’affaire Cegedim

Dans le cadre d’une cyberattaque, les données les plus sensibles ne sont pas toujours celles auxquelles on pense spontanément. Les informations les plus exposées ne sont en effet pas nécessairement celles directement collectées auprès du patient ou de la personne concernée, mais parfois celles créées par le responsable de traitement lui-même, à travers des annotations internes. Au-delà de l’atteinte potentielle à la vie privée, ces données ainsi générées peuvent se révéler inappropriées, voire diffamatoires, et accroître le risque juridique lorsqu’elles font l’objet d’un vol.

Encore une fois, comme dans la plupart des violations de données récentes, le maillon faible demeure l’humain : soit en amont, lorsque certaines cyberattaques exploitent des accès insuffisamment protégés, soit en aval, lorsque ce même utilisateur crée, via une zone de texte libre, une information potentiellement préjudiciable. Ce risque spécifique doit être intégré par l’organisme dans sa gouvernance des données et effectivement maîtrisé. Il ne doit pas non plus être oublié que les systèmes d’information reflètent aussi les comportements humains, avec leurs biais, leurs jugements et parfois leurs propos excessifs.