Après les failles de sécurité observées dans les logiciels commercialisés par la société Dedalus, c’est à présent le secteur médico-social de la région PACA et la société Mondobrain qui font l’objet d’une alerte.
Une data scientist employée auprès d’un Groupement d’Intérêt Public en charge de la collecte et du traitement des données de santé des établissements médicaux et sociaux de la région Provence-Alpes-Côtes d’Azur a en effet constaté des faits susceptibles de porter atteinte au droit à la protection des données à caractère personnel protégé par le RGPD.
Sollicitée pour constituer un dossier d’autorisation CNIL pour organiser la sous-traitance des données recueillies par la société Mondobrain, une société de droit américain, cette lanceuse d’alerte a signalé ces faits à ses supérieurs à partir de la fin août 2019. Quelques mois plus tard, cette lanceuse d’alerte a saisi la CNIL.
Licenciée à l’issue de sa période d’essai, elle a sollicité l’aide de la Maison des Lanceurs d’Alerte qui s’est saisie de l’affaire.
« Un accès irrégulier à des données de santé aurait des conséquences graves, estime Juliette Alibert, juriste à la Maison des Lanceurs d’Alerte. La CNIL est compétente pour enquêter sur ces irrégularités, il nous a semblé que son intervention était nécessaire et nous l’avons saisie pour connaître la réalité et l’ampleur exacte des irrégularités et des violations du droit à la protection des données signalées par la lanceuse d’alerte.”
Irrégularités de procédure et risques pour la sécurité des données
La collaboration avec la société Mondobrain viserait notamment à déployer un outil d’apprentissage par intelligence artificielle capable d’anticiper les pics de tensions aux urgences.
La lanceuse d’alerte a dénoncé des irrégularités de procédure : la demande d’autorisation à la CNIL doit être réalisée par le Délégué à la protection des données, non par une data scientist, qui, de plus, n’a jamais eu accès au contrat de sous-traitance avec la société Mondobrain, pourtant nécessaire en pareil cas.
Elle a par ailleurs signalé des faits susceptibles de contrevenir gravement au droit à la protection des données personnelles notamment :
- une ouverture très précoce de deux comptes utilisateurs pour la société Mondobrain. Cet accès permettrait à cette société privée d’avoir accès en clair aux données de santé, directement sur leur lieu d’hébergement, et ce, a priori, en l’absence de tout contrat de sous-traitance ;
- plusieurs failles potentielles de sécurité pouvant, si elles étaient avérées, permettre des accès depuis l’extérieur aux données sensibles.
La CNIL qui, a accusé réception de la saisine le 4 février 2021, dispose à présent des éléments pour ouvrir une investigation. La Maison des Lanceurs d’Alerte restera vigilante aux suites données à cette affaire.
Crédits photos : Jodie Covington