Banque et santé: le secret des données à l'heure du numérique

Depuis des millénaires, l’homme a recours à des moyens techniques tels que le chiffrement pour conserver des informations secrètes. Dans certains secteurs d’activité, le secret constitue une véritable obligation pour le professionnel, dépositaire de ce secret. Ainsi, dans le domaine médical, les professionnels de santé s’engagent, depuis le Serment d’Hippocrate, à taire les secrets qui leur sont confiés. Il en est de même dans le domaine bancaire. Or, l’avènement du numérique et ses nouveaux usages rendent indispensable l’évolution des pratiques afin d’assurer la confidentialité et la sécurité de ces données.

LA REGLEMENTATION RELATIVE AUX DONNEES MEDICALES ELECTRONIQUES

En France, le principe du secret médical est posé par l’article L1110-4 du code de la santé publique qui dispose que « toute personne prise en charge par un professionnel de santé, un établissement de santé […] a droit au respect de sa vie privée et du secret des informations le concernant » et « il s’impose à tous les professionnels intervenant dans le système de santé ».

Par ailleurs, dans la mesure où les données médicales ont été qualifiées de données à caractère personnel et de données sensibles par la loi « Informatique et libertés » et le règlement européen sur la protection des données[i], s’ajoutent aux dispositions sur le secret médical, celles relatives à la protection des données à caractère personnel. Par principe, la collecte et le traitement des données médicales sont interdits en raison du caractère sensible de ces données. Cependant, la loi autorise les traitements à des fins médicales par toute personne à laquelle s’impose, en raison de ses fonctions, l’obligation de secret professionnel[ii].

Afin de répondre aux exigences de confidentialité et de sécurité des données imposées par ces différentes réglementations, les professionnels de santé sont tenus de respecter des référentiels lors de la conservation sur support numérique et/ou la transmission par voie électronique d’informations médicales relatives à un patient. Ces référentiels invitent, notamment, à :

  • mettre en place des mesures de sécurité physique et logique telles que le chiffrement ;
  • utiliser une carte de professionnel de santé (CPS) pour accéder aux informations médicales, à des fins d’identification, d’authentification et de traçabilité[iii] ;
  • le cas échéant, recourir à des prestataires d’hébergement cloud agréés par le ministère de la Santé[iv];
  • le cas échéant, mettre en œuvre des mesures techniques et organisationnelles appropriées dès la conception de la technologie utilisée.

Il ressort de ces prérogatives que le chiffrement et l’horodatage des données médicales constituent des techniques indispensables pour protéger le secret des données de santé. Cela est d’autant plus vrai avec l’essor de la télémédecine[v], des objets connectés et du dossier médical partagé. Loin de remettre en cause le principe du secret médical, ces nouveaux usages ont permis d’assouplir les conditions de partage des informations médicales entre professionnels de santé prévues par la loi dès lors que le patient a consenti à ce partage. Le numérique ne fait, donc, que revisiter l’utilisation des données médicales mais ne remet pas en cause la nécessité de préserver le secret médical qui passe, nécessairement, par la sécurisation des systèmes d’information et la traçabilité des actes effectués.

LA REGLEMENTATION RELATIVE AUX DONNEES BANCAIRES ELECTRONIQUES

  En France, le secret bancaire, posé par l’article L511-23 du code monétaire et financier, est l’obligation de confidentialité à laquelle les banquiers sont soumis à l’égard de leurs clients. En effet, les établissements bancaires recueillent un très grand nombre de données de la part de leurs clients, de leurs prospects et de leurs partenaires et sont, à ce titre, tenus de sécuriser le stockage et la transmission électronique des données bancaires.

Afin de garantir la confidentialité et la sécurité des données, les établissements bancaires doivent, plus que jamais, veiller à la sécurité de leur système informatique. Pour cela, des contrôles périodiques sont imposés par l’arrêté du 3 novembre 2014. Ces contrôles doivent porter sur le niveau de sécurité, les actions correctrices envisagées, les procédures de secours ainsi que sur l’intégrité et la confidentialité des informations stockées[vi].

Par ailleurs, l’Autorité de contrôle prudentiel et de résolution (ACPR) a considéré qu’une simple prestation dite de « support » pouvait être considérée comme une prestation de services essentielle externalisée (PSEE) à partir du moment où elle était opérée dans le cloud[vii].  Rappelons que les PSEE désignent des « prestations de services ou autres tâches opérationnelles essentielles ou importantes »[viii], qui, par cette analyse, imposent aux prestataires de services cloud des contraintes particulières et des garanties de sécurité à la hauteur de leurs obligations.

Il est, également, intéressant de noter que les risques liés à la sécurité des banques en ligne sont identiques à ceux rencontrés par les banques classiques qui proposent des services en ligne de consultation et de gestion de comptes bancaires. Les mesures de protection telles que le chiffrement des données et l’authentification du client sont, donc, indispensables pour garantir le secret bancaire et ce, dès que des technologies de l’information et de la communication sont utilisées.
 
Enfin, la collecte et le traitement des données bancaires sont soumis à la règlementation sur la protection des données à caractère personnel.  Sur ce point, la Cnil exige, notamment, que les données bancaires collectées lors d’un paiement en ligne telles que le numéro de carte bancaire et le cryptogramme visuel soient chiffrés par l’intermédiaire d’un algorithme de chiffrement dit « fort » et que l’accès soit restreint au sein du personnel du site marchand.
 
Parallèlement et afin de faire face à l’augmentation toujours croissante du nombre de transactions en ligne, l’ordonnance portant transposition de la directive relative aux services de paiement (DSP 2)[ix], entrée en vigueur le 13 janvier 2018, a pour objectif de renforcer la sécurité des paiements en ligne. Toutefois, les normes techniques de règlementation concernant, notamment, l’authentification forte du client, dont la rédaction a été confiée à l’Autorité bancaire européenne (ABE), ne seront pas applicables avant septembre 2019. Sur ce point, il est intéressant de souligner que l’envoi d’un code par SMS pour finaliser un paiement en ligne semble non conforme aux exigences d’authentification établies par lesdites normes et devra donc être remplacé. Une fois encore, le numérique revisite l’utilisation des données et exige la mise en place de procédés de sécurité et d’authentification afin d’assurer la confidentialité de ces données bancaires.


[i] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
[ii] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, art. 8.
[iii] Décret n° 2007-960 du 15 mai 2007 relatif à la confidentialité des informations médicales conservées sur support informatique ou transmises par voie électronique et modifiant le code de la santé publique.
[iv] Article L1111-8 du code de la santé publique.
[v] Articles L6316-1 et R6316-1 et suivants du code de la santé publique, consacrés aux conditions de mise en œuvre et d’organisation de l’activité de télémédecine.
[vi] Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement, soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution, art. 87.
[vii] ACP, Analyses et Synthèses, Les risques associés au cloud computing, n°16, juillet 2013 : https://acpr.banque-france.fr/sites/default/files/medias/documents/201307-risques-associes-au-cloud-computing.pdf.
[viii] Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement, soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution.
[ix] Ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.