Rappel de l'objet de la demande
Un établissement a mis en place un système pour prévenir les fuites de données sur son firewall. Est-il autorisé à surveiller les données sortantes ? Le cas échéant, quelles sont les données concernées ?
Textes de référence
- Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée par la loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel puis par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles ;
- Décret n° 2018-687 du 1er août 2018 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.
Réponse
Dans un premier temps, il convient de relever que les éléments sortants d’un système informatique peuvent être de natures diverses : il peut notamment s’agir de données (entendu au sens de contenu d’un fichier) ou de métadonnées (entendu au sens de données concernant les fichiers). Les métadonnées vont par exemple concerner la date, le lieu, l’identité de l’auteur ou du destinataire d’actions réalisées sur des données telles que celles-ci ont été précédemment définies.
Par ailleurs, il peut être relevé que toutes les données telles qu’elles ont été définies plus haut ne portent pas sur les mêmes éléments. Notamment, certaines concernent plus particulièrement des personnes physiques identifiées ou identifiables. On les qualifie alors de données à caractère personnel. Ces données sont particulièrement protégées par le législateur. Contrairement aux autres données, leur utilisation est très encadrée.
Depuis l’entrée en vigueur de la loi du 20 juin 2018 relative à la protection des données personnelles, de nouvelles règles sont applicables en matière de traitement de données à caractère personnel. Cette loi a également défini les différents éléments pouvant concerner ce traitement de données à caractère personnel. L’article 2 de cette loi énonce ainsi :
« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.
Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.
La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement. »
Ces traitements de données à caractère personnel doivent notamment être soumis à des règles strictes de confidentialité et de sécurité. C’est-à-dire que seules les personnes expressément autorisées par la personne concernée peuvent accéder au contenu du traitement. Elles ne peuvent pas être librement communiquées à des tiers.
Plus spécifiquement, l’établissement est un centre hospitalier. Certaines données faisant l’objet d’un traitement sont donc relatives à des patients et à leur état de santé. Les données de santé sont encore plus particulièrement protégées que les autres données à caractère personnel : seuls les professionnels intervenant directement dans la prise en charge de la personne concernée peuvent avoir accès à leur contenu.
Il est donc exclu que des personnes du service technique de l’établissement aient accès au contenu des fichiers contenant des données personnelles.
Cependant, l’obligation de sécurité d’un traitement de données à caractère personnel impose la mise en place d’outils permettant notamment la traçabilité des opérations réalisées sur les fichiers du traitement. Pour assurer cette traçabilité, il convient donc de recueillir les métadonnées relatives à ces opérations : type d’opération, auteur, destinataire, heure, lieu, poste informatique utilisé, etc.
Dès lors que la surveillance des opérations réalisées sur le traitement de données à caractère personnel se limite à une surveillance des métadonnées, il est possible de la réaliser. Il n’est cependant pas possible d’accéder au contenu des fichiers du traitement sans y avoir été expressément autorisé par les personnes concernées.
A toutes fins utiles, il est rappelé que la surveillance d’opérations informatiques, quelles qu’elles soient, doit être signalée aux utilisateurs du système informatique. Ce signalement peut notamment être réalisé par l’envoi d’un courrier ou e-mail informatif aux utilisateurs ou encore l’affichage de cette information dans l’établissement.
Pour consulter la suite et toutes nos autres réponses, remplissez le formulaire ci-dessous ou demandez votre démo
Tous les champs sont requis