Violations de données de santé : la CNIL sanctionne deux médecins

Le 7 décembre 2020, la formation restreinte de la CNIL a prononcé deux amendes de 3 000 € et 6 000 € à l’encontre de deux médecins libéraux pour avoir insuffisamment protégé les données personnelles de leurs patients et ne pas avoir notifié une violation de données à la CNIL.

 

À la suite d’un contrôle en ligne réalisé en septembre 2019, la CNIL a constaté que des milliers d’images médicales hébergées sur des serveurs appartenant à deux médecins libéraux étaient librement accessibles sur Internet.

Lors des auditions de contrôle, les médecins ont reconnu que les violations de données avaient pour origine un mauvais choix de configuration de leur box Internet ainsi qu’un mauvais paramétrage de leur logiciel d’imagerie médicale. Les investigations menées ont également permis d’établir que les images médicales conservées sur leurs serveurs n’étaient pas systématiquement chiffrées.

Sur la base de ces éléments, la formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a relevé que les deux médecins s’étaient affranchis des principes élémentaires en matière de sécurité informatique. Elle a retenu un manquement à l’obligation de sécurité des données (article 32 du RGPD), considérant qu’ils auraient notamment dû s’assurer que la configuration de leurs réseaux informatiques ne conduisait pas à rendre les données librement accessibles sur Internet et procéder au chiffrement systématique des données personnelles hébergées sur leurs serveurs.

La formation restreinte a également retenu un manquement à l’obligation de notifier les violations de données à la CNIL (article 33 du RGPD). En effet, les deux médecins n’ont pas effectué ces notifications obligatoires auxquelles ils auraient dû procéder après avoir appris que les images médicales de leurs patients étaient librement accessibles sur Internet.

Si la formation restreinte n’a pas considéré nécessaire que l’identité des médecins concernés soit rendue publique, elle a néanmoins souhaité assurer la publicité de ces décisions pour alerter les professionnels de la santé sur leurs obligations et la nécessité de renforcer leur vigilance sur les mesures de sécurité apportées aux données personnelles qu’ils traitent.

Cette vigilance doit les conduire à choisir les solutions applicatives présentant le maximum de garanties en termes de sécurité informatique et de protection des données personnelles. Elle doit également les inciter à la prudence au moment de l’élaboration et du paramétrage de leur système informatique interne, en s’entourant si nécessaire de prestataires compétents en la matière.