- Texte visé : Projet de loi relatif à l'organisation et à la transformation du système de santé, n° 1681
- Stade de lecture : 1ère lecture (1ère assemblée saisie)
- Examiné par : Commission des affaires sociales
Compléter l’alinéa 48 par la phrase suivante :
« Il assure la cyberprotection des données de santé dont il dispose. »
Selon un article des Echos de février 2019, aux États-Unis, 176 millions de dossiers de santé ont été piratés entre 2010 et 2017 ! En janvier 2015, c’est la compagnie d’assurance santé américaine Anthem qui se faisait pirater plusieurs dizaines de millions de dossiers de clients comprenant leurs noms, dates de naissance, numéros de sécurité sociale, informations médicales, revenus, etc. Régulièrement, de nouvelles fuites de données de santé ont lieu. Ces dernières font l’objet de cyberattaques redoutables qui menacent la protection d’informations particulièrement sensibles. Et il suffit d’une fuite, pour que les conséquences soient quasi-irréversibles. En France, en 2015, c’est le laboratoire de biologie médicale Labio qui se faisait hacker et voler des centaines de bilans médicaux et d’analyses sanguines. De nombreux acteurs privés lorgnent d’ores et déjà la Plateforme des données de santé que cet article prévoit de mettre en place. Or pseudonymiser les données n’apporte aucune garantie. Cédric Villani lui-même le reconnaissait lors de son audition à l’Assemblée nationale le 7 novembre 2018 : « Se contenter de pseudonymiser les données n’est pas suffisant, car il est assez facile en pratique – et ce le sera de plus en plus – de les réidentifier dans bien des situations. Cela a été démontré de façon spectaculaire aux États-Unis par l’équipe de Latanya Sweeney qui a, dans des bases de données de santé publiques, accessibles, réidentifié le dossier du gouverneur du Massachusetts. »
Dans ces conditions, il serait dramatique de ne pas mettre en place un système de cybersécurité efficient pour protéger les données de santé qui seront partagées sur cette Plate-forme.
Le présent article indique que le groupement d’intérêt public dénommé « Plateforme des données de santé » sera chargé de contribuer à l’élaboration de référentiels et de méthodologies de référence au sens du b du 2° de l’article 8 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique et aux libertés. Or, ces référentiels et méthodologies tel que décrits dans la loi du 6 janvier 1978 ne font d’aucune manière référence à un haut-risque de cyberattaque.
Par cet amendement, nous voulons garantir que les données de santé des français feront l’objet d’un système de cybersécurité.