Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia - 348

DOCTR INE
Décret n° 2022-715 du 27 avril 2022.
Enfin, actualité spécifique au secteur
de la santé et du médico-social, le
décret n°2022-715 du 27 avril 202211
est venu modifier les dispositions du
code de la santé publique relatives
aux signalements des incidents de
sécurité des systèmes d'information
du secteur de la santé et du
médico-social.
Pour rappel lorsqu'un incident cyber
touche les établissements de santé ou
médicosocial, ces derniers doivent
faire remonter l'information sur un
portail dédié à ces signalements. Ces
signalements seront à présent traités
par l'Agence du numérique en santé
(ANS).
Par ailleurs, le nouveau décret prévoit
dorénavant que d'une part ce ne sont
plus seulement les incidents graves
mais
également
les
évènements
significatifs qui devront faire l'objet
d'une notification et, d'autre part,
les
établissements médicosociaux
et tous les organismes et services
exerçant des activités de prévention,
de diagnostic ou de soins devront
également procéder au signalement
de ces incidents.
Actualité judiciaire
Les cours et tribunaux sont de plus
en plus régulièrement concernés par
des litiges informatiques impliquant
des questions de sécurité. La cour
d'appel de Paris a notamment jugé
qu'un virus informatique (cryptolocker
en l'espèce) ne présente ni
un caractère imprévisible, ni un
caractère irrésistible et ne constitue
donc pas un cas de force majeure ni
même un fait fortuit exonératoire de
responsabilité12
.
Concernant les atteintes aux systèmes
de traitement automatisé de données
(STAD), la Cour de cassation a par
ailleurs jugé que les modifications
ou suppressions de données contenues
dans un système de traitement
automatisé sont nécessairement
frauduleuses, au sens de l'article
323-3 du code pénal, lorsqu'elles
ont été sciemment dissimulées à au
moins un autre utilisateur d'un tel
système, même s'il n'est pas titulaire
de droits de modification13
.
348
Décisions de la Cnil :
la responsabilité des
sous-traitants
La
délibération
restreinte
de
la
formation
de la Cnil prononçant
une amende de 1,5 millions d'euros
à l'encontre de la société Dedalus
Biologie14
(éditeur notoire de solutions
logicielles à destination de laboratoires
d'analyses médicales) au titre
de plusieurs manquements au RGPD,
illustre le nouveau rapport de force
entre un responsable de traitement et
un sous-traitant.
En effet, à la suite d'une fuite de
données majeures tant du point de
vue de la quantité des données que
des catégories desdites données, cette
décision de la Cnil vise à rechercher
en priorité la responsabilité propre
du sous-traitant, éditeur de logiciels,
agissant pour le compte de deux
laboratoires d'analyses de biologie
médicale, responsables de traitement.
Outre un manquement à l'obligation
de sécurité, la Cnil a retenu de
manière plus innovante à l'encontre
du
sous-traitant,
non
seulement
un manquement à l'article 29 du
RGPD puisqu'ayant agi en dehors
des instructions du responsable
de traitement, mais également un
manquement à l'obligation d'encadrer
par un acte juridique les traitements
réalisés par le sous-traitant prévue
à l'article 28 du RGPD ; obligation
pourtant portée généralement par les
responsables de traitement.
Cette délibération à l'encontre de la
société Dedalu Biologie s'inscrit dans
le sillage de la décision, pour laquelle
la Cnil avait mis en demeure la société
Francetest15
proposant un service de
formulaire en ligne aux officines de
pharmacie qui effectuent des tests
antigéniques au SRAS-CoV2, de
prendre toute mesure à la suite d'une
faille de sécurité entrainant une fuite
de données concernant environ
400 000 personnes, mais non les
officines de pharmacie qui y faisaient
appel.
Aussi bien côté prestataires que clients,
il conviendra donc de se montrer
particulièrement vigilant à cette attention
prononcée pour les sous-traitants
par l'autorité de contrôle.
EXPERTISES OCTOBRE 2022
Doctrine de la Cnil sur la
recherche sur internet de
fuites d'informations (RIFI)
L'information disponible en source
ouverte (ou « open source ») est par
définition au cœur de la cybersécurité,
qui repose sur la collecte de
renseignement à des fins de compréhension
et d'analyse de la menace,
et in fine de prévention des attaques
et de protection des organisations.
Parmi les diverses sources d'informations,
les données disponibles
en sources ouvertes, bien qu'accessibles
à tous, constituent une aide
précieuse. Elles contribuent en effet
à la fois à l'identification des vulnérabilités
de l'organisation, à l›évaluation
de son niveau d›exposition et de sa
surface d›attaque.
L'obtention
d'un
renseignement
obtenu par une source d'information
publique est qualifiée de renseignement
d'origine sources ouvertes
(ROSO) ou open source intelligence
(OSINT). L'OSINT est par exemple
indispensable pour
contextualiser
les menaces, détecter les fuites
d'information, établir et alimenter les
tableaux de bords et plateformes de
visualisation.
La notion de « source ouverte » ne
signifie pas liberté totale de collecte
et de traitement des données, notamment
à caractère personnel. La Cnil
aborde l'OSINT par le concept de
recherche sur internet de fuites d'informations
(RIFI)16
. Selon la Cnil, une
opération de RIFI consiste à analyser
le web de manière automatisée, afin
de vérifier si des informations, préalablement
identifiées par le biais de
mots-clés, ont été rendues publiques.
Cela revient, pour une organisation, à
rechercher sur Internet, les données
qui ont fuité et implique donc
d'analyser un important volume de
données.
Plusieurs règles, articulées autour
de trois axes essentiels, doivent être
respectées par
les organismes qui
décident de recourir à la RIFI (et
leurs prestataires) afin de respecter le
RGPD :
■ répartir les rôles et responsabilité
des acteurs (encadrés par un
contrat) ;
Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Octobre 2022 - N°483 - Le mensuel du droit de l'informatique et du multimédia
