Mercredi dernier, le 5 décembre, Cancer Treatment Centers of America at Western Regional Medical Center in Bullhead City ( ci apres « CTCA» ), Arizona, a notifié une potentielle brèche de données à près de 42,000 patients.L’histoire derrière cette notification est la suivante. Le 2 mai 2018, une attaque par hameçonnage aurait été faite contre le centre en question. Dès lors, une enquête sur l’attaque ayant pour but de découvrir si des données personnelles de patients ont pu être touchées a été lancée. C’est donc le 26 septembre 2018 que la CTCA a découvert et confirmé qu’ un utilisateur non autorisé a eu un accès de courte durée à des informations personnelles de patients. Il est ici question de données sensibles telles que le type de cancer des patients, leur nom et leur adresse. Cette brèche de données a été par la suite dénoncée au «Department of Health and Human Services’ Office for Civil Rights » le 26 novembre 2018. Tout cela nous amène à la semaine dernière, précisément le 5 décembre, jour où les patients ont été avisés de l’attaque sur leurs données.

Il ne s’agit pas du crime du siècle, mais cette brèche nous donne la possibilité de regarder, d’analyser et de comparer un des modèles de protection des données personnelles aux États-Unis. Il est ici question du « Health Insurance Portability and Accountability Act » ou plus communément appelé « HIPAA ». En effet, aux États-Unis, il n’existe pas de loi fédérale d’application générale, ayant une portée sur tout le secteur privé, qui protège les données personnelles. C’est pourquoi, une loi comme l’ « HIPAA » a une portée bien précise, elle ne réglemente que certains acteurs dans le domaine de la santé. Cette façon de faire fait donc un contraste intéressant avec le nouveau Règlement Général sur la Protection des données de l’Union européenne (RGPD) car la portée de celui-ci est bien plus large. En effet, elle encadre toutes les collectes de données provenant du secteur privé.

Le point le plus incroyable de cette actualité est la trame temporelle. Une brèche a été faite en Mai, elle a été découverte et confirmée en fin septembre, les autorités ont été avisés 2 mois plus tard et finalement c’est en décembre que les patients sont avisés. Puisque nous sommes à l’ère du RGPD, la question que tout le monde se pose ici est à savoir quel sera le montant de l’amende pour ces délais. La réponse… probablement 0$. En effet, le « HIPAA » américain, à sa section 164.404, donne un délai de 60 jours à partir de la découverte de l’attaque par l’entité attaquée pour avertir les patients touchés. Délai incroyablement long, considérant les articles 33et 34 du RGDP, qui parle soit de 72 heures au plus tard ou de meilleurs délais. Il est donc possible ici de constater à quel point la notion de transparence envers les utilisateurs/patients est favorisée dans le RGPD. Autre point intéressant lorsque l’on regarde l’ « HIPAA » américain est la notion de «données identifiables ». Dans le cas en l’espèce, les données qui ont été touchées permettent toutes d’identifier des patients. Incidemment, ces données sont protégées par l’ « HIPAA ». Mais est-ce que la protection serait la même si les données touchées ne permettaient pas d’être reliées directement à un patient? Selon la section 160.103, les données protégées dans cette loi ne sont que les « Individually identifiable health information». Ainsi, si les données perdent leur caractère « identifiable » elles sortent de la protection offerte par l’ « HIPAA ». Cette notion nous est confirmée par la section 164.514, qui permet de partager les informations personnelles d’un patient,sans son consentement, simplement car elles ont perdu leur caractère identifiable et du même fait la nécessité de consentement. Nous ne retrouvons ce caractère « identifiable » lorsqu’on défini« les données concernant la santé » à l’article 4(15) du RGPD.

Les différences entre les deux cadres réglementaires sont assez importantes. Le RGPD semble donner une meilleure protection dans le domaine de la santé, même si l’ « HIPAA » américain n’œuvre que dans ce milieu. Ce qui est à mon avis assez surprenant. Pour le cas ici présent, il sera intéressant de voir si une amende sera donnée à la CTCA et si oui, de quel montant elle sera. Il n’a pas été question ici des différences entre les amendes, mais c’est sans surprise que les plus importantes sont données sous le RGPD.