Intervention de Bernard Perrut

Mes questions concernaient des sujets sur lesquels vous êtes déjà intervenue, notamment le passeport sanitaire et les modalités de réponse à ces évolutions qui posent des questions inédites quant à la protection des données à caractère personnel et au respect de la vie privée. Mes interrogations portaient également, bien sûr, sur la collecte d'informations pendant cette campagne de vaccination et sur les garanties à activer de sorte que ces informations soient correctement protégées par le secret médical et accessibles aux seules personnes habilitées et soumises au secret professionnel.

Je souhaite revenir sur le sujet très particulier – qui a déjà été évoqué – de l'hôpital et notamment de l'hôpital de Villefranche-sur-Saône, la ville où je suis élu, qui a été victime d'une attaque par un cryptovirus rançongiciel, le 15 février dernier. Cette attaque aurait pu avoir des conséquences considérables, voire dramatiques, en mettant des vies en danger. Grâce au travail des informaticiens et des techniciens, depuis ce matin, l'ensemble des services a retrouvé un fonctionnement normal et nous en sommes heureux.

Le nombre d'attaques de ce type augmente depuis 2020 et notamment depuis le début de la pandémie qui conduit plus facilement les hôpitaux à s'acquitter de la rançon en raison de la nécessité critique de continuité de l'activité.

Le nombre de procédures a également beaucoup augmenté : cent quarante-huit en 2019 contre quatre cent trente-six en 2020. Une quarantaine d'autres procédures ont été ouvertes devant le parquet de Paris pour le seul mois de janvier. Par conséquent, la situation est grave. Les interpellations pour des faits liés à ces actes, que je juge criminels, demeurent très rares et le nombre croissant de ces cyberattaques remet en cause l'efficacité de la lutte contre la cybermenace.

Par conséquent, madame la présidente, dans ce contexte sanitaire et compte tenu des enjeux toujours croissants liés à la numérisation de la santé, via notamment les plateformes de prise de rendez-vous médicaux en ligne, la gestion des violations de données personnelles dans les établissements de soins ne constitue-t-elle pas un véritable sujet de préoccupation ?

Comment la CNIL intervient-elle ? Comment contrôle-t-elle la sécurité des données de santé dans les établissements ?

Au-delà de la vérification de la conformité, les contrôles menés doivent permettre de continuer à augmenter le niveau de sécurité des données de santé des personnes.

Madame la présidente, quelles politiques publiques, non seulement de prévention et d'accompagnement, mais également de protection et de réponse à la cybercriminalité, la CNIL et vous-même pouvez-vous promouvoir ? Quelles mesures avez-vous initiées de sorte à nous rassurer ?