CNIL : sanction de deux médecins pour violation de données de santé

Deux médecins libéraux sanctonnés par la CNIL !

On ne plaisante pas avec les données de santé et être un indépendant ou une petite structure n’est pas un motif pour s’affranchir de ses obligations notamment en ce qui concerne la sécurité des données des personnes concernées, les patients dans ces deux affaires.

Les sanctions

Le 7 décembre 2020, la CNIL a prononcé deux amendes à l’encontre de deux médecins libéraux :

  • Pour l’un, 3000€ représentant un peu plus de 3% de son revenu de 2018 (97000€).
  • Pour l’autre, 6000€ représentant un peu plus de 6% de son revenu estimé à 8000€/mois.

Ces deux médecins se sont vu reprocher une protection insuffisante des données de santé de leurs patients, ainsi que l’absence de notification d’une violation de données à la CNIL.

Le déroulement

Ces deux affaires sont initiées par un site Web relayant l’information d’une fuite de données caractérisée par un accès libre à des serveurs informatiques hébergeant des images médicales qui, de surcroît, permettait d’identifier les personnes.

En septembre 2019, la CNIL décide donc de procéder à des contrôles en ligne. Ces derniers confirmeront le caractère librement accessible des données évoquées précédemment.

A noter que ces contrôles ont permis de déterminer les adresses IP des serveurs et ainsi d’identifier les responsables de traitement, via les fournisseurs d’accès (FAI).

Sans entrer dans les détails de la procédure de sanction, nous pouvons constater que les fautifs ont bien avoués les faits :

  • Pour l’un, le manquement est le résultat d’installation et paramétrage par ses soins de la Box internet et du serveur d’imagerie.
  • Pour l’autre, ayant fait appel à un prestataire pour le paramétrage de sa Box internet, une tentative de se retrancher derrière la responsabilité de ce dernier a été tentée mais jugée non recevable pour faute de preuve.

Dans le dernier cas, il ne fait pas de doute que l’argument aurait été rejeté, le choix du prestataire étant de la responsabilité du responsable de traitement.

Les manquements

La CNIL souligne que la protection du réseau informatique interne et le chiffrement des données à caractère personnel font partie des exigences élémentaires en matière de sécurité informatique, qui incombent à tout responsable de traitement.

Par conséquent, la CNIL a sanctionné ces deux médecins libéraux en prononçant des amendes de 3000€ et 6000€ pour manquements aux articles 32 et 33 du RGPD.

La CNIL rappelle qu’en application des dispositions de l’article 83, paragraphe 4, du RGPD, les fautifs encourt une sanction financière d’un montant maximum de 10 millions d’euros.

Pour les personnes intéressées par les critères ayant menés aux montants des sanctions, vous pouvez consulter les délibérations :

Les conclusions à en tirer

Quels sont les enseignements de ces affaires :

  • Le respect du RGPD n’est pas une option, même pour une petite structure
  • La sécurité est un pilier fondamental du RGPD, au même titre que le respect des principes fondamentaux juridiques (relatifs aux traitements des Données à Caractère Personnel (DCP) et aux droits des personnes concernées).
  • L’installation, le paramétrage et l’administration des systèmes informatiques et réseaux est un métier, une affaire de spécialistes. Le DIY (Do It Yoursel) a ses limites, visible dans ces 2 affaires.
  • Ne pas hésiter à se faire accompagner par un spécialiste sur les questions de sécurité informatique, RGPD.

Pour conclure et donner mon avis personnel :

  • Il m’arrive d’acheter des médicaments en pharmacie sans prescription, mais pour autant suis-je Médecin ?
  • Je tiens mes comptes personnels et même une partie de ma comptabilité professionnelle, puis-je me déclarer Comptable ?

Alors, cessez de vouloir tout faire vous même et faites-vous accompagner.

Ainsi, vous pouvez vous concentrer sur vos activités à forte valeur ajoutée.

Source : Violations de données de santé : la CNIL sanctionne deux médecins

Abonnez-vous à notre lettre d'information

Votre adresse de messagerie est uniquement utilisée pour vous envoyer les lettres d’information d’Ataraxie-IT. Vous pouvez à tout moment utiliser le lien de désabonnement intégré dans la newsletter. En savoir plus sur la gestion de vos données et vos droits.