Protection des données médicales : deux médecins condamnés par la Cnil

Jean-Bernard Gervais

14 janvier 2021

France – Des sanctions prises par la commission nationale informatique et libertés (Cnil) sont rares ; leur caractère exceptionnel a donc valeur d'exemple. Le 17 décembre dernier, dans un communiqué de presse, la Cnil informait qu'elle avait décidé de sanctionner deux médecins. Leurs torts ? « Avoir insuffisamment protégé les données personnelles de leurs patients et ne pas avoir notifié une violation de données à la CNIL », explique ladite commission. Les deux médecins ont été condamnés à des amendes respectives de 3000 euros et 6000 euros d'amende. Une décision rendue publique « pour alerter les professionnels de la santé sur leurs obligations et la nécessité de renforcer leur vigilance sur les mesures de sécurité apportées aux données personnelles qu’ils traitent » explique la Cnil.

Accès aux images et absence de chiffrement des données patients

Ces deux médecins ont été repérés par la Cnil suite au signalement d'un site Web. Pour le premier de ces médecins, la Cnil a ensuite procédé, les 24 et 25 septembre 2019, à un contrôle en ligne. Ce contrôle a « confirmé le caractère librement accessible de ces données, exploitables par l’intermédiaire d’un simple logiciel de consultation d’images médicales ». Le 9 octobre, le Dr M. indiquait à la Cnil avoir pris toutes les dispositions pour mettre fin à cette violation. Quoi qu'il en soit, le 9 décembre 2019, le Dr M. a été auditionné par la Cnil. Lors de cette audition, il indiquait que, pour accéder à distance aux images médicales de ses patients, il avait « ouvert les ports de la LiveBox utilisée à son domicile en activant le mode DMZ de cette dernière, dans l’objectif de faire fonctionner le VPN ».  Le 23 septembre dernier, la Cnil produisait un rapport sur les manquements du Dr M. à la législation en vigueur.

Le Dr M. a violé l'article 32 du RGPD, qui stipule que « le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Il lui est notamment reproché de ne pas avoir chiffré les données à caractère personnel, et de ne pas avoir garanti la « confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ». Le Dr M. n'avait pas non plus pris soin de « chiffrer les données contenues dans ses trois ordinateurs portables et dans son ordinateur fixe ». Circonstance aggravante : la Cnil « relève que le traitement en cause concerne des données médicales, qui constituent des catégories particulières de données à caractère personnel ». Ainsi plus de 5300 séries d'images médicale auraient été accessibles, durant quatre mois ; l'identité des patients du Dr M. étaient également accessibles. Autre entorse au règlement : le Dr M n'a pas non plus déclaré la violation de données auprès des services compétents de la Cnil, tel que le stipule l’article 33 du RGPD. Le Dr M a donc été condamné à une amende de 3000 euros.

Des données accessibles pendant cinq ans

Pour le Dr C, les faits reprochés sont identiques à ceux du Dr M. Les articles du RGPD qui ont été violés sont les articles 32 et les 33 tout comme pour le Dr M. À quelques différences près. Les faits ont été constatés, tout comme pour le Dr M., les 23 et 24 septembre derniers. Mais le Dr C, a contrario du Dr M, n'avait pas effectué le paramétrage de la box par ses soins : il avait fait appel à un prestataire. Autre différence : l'accès à distance durait depuis cinq ans, contre quatre mois pour le Dr M. Ainsi pendant plus de cinq ans, plus de 1200 séries d'images médicales ont été en accès libre, tout comme l'identité des patients du Dr C. Cette violation des donnés n'a pas non plus fait l'objet par le Dr C d'un signalement auprès de la Cnil (article 33 du RGPD). La commission « relève ainsi que C. [...] a failli à deux principes élémentaires en matière de sécurité informatique, à savoir la protection du réseau informatique interne par la limitation des flux réseau au strict nécessaire et le chiffrement des données à caractère personnel ». Le Dr C. a été condamné à une amende de 6000 euros. En les rendant publiques, la Cnil a « souhaité assurer la publicité de ces décisions pour alerter les professionnels de la santé sur leurs obligations et la nécessité de renforcer leur vigilance sur les mesures de sécurité apportées aux données personnelles qu’ils traitent ».

Le choix des logiciels de partage de données et le paramétrage de l'installation informatique des médecins ne sont donc pas des tâches à prendre à la légère...

Commenter

3090D553-9492-4563-8681-AD288FA52ACE
Les commentaires peuvent être sujets à modération. Veuillez consulter les Conditions d'utilisation du forum.

Traitement....