Par deux décisions du 7 décembre 2020, la formation restreinte de la CNIL a prononcé deux amendes (3.000 et 6.000 euros) à l’encontre de deux médecins libéraux en raison notamment d’un manquement à leur obligation de sécurité des données.
Dans le cadre d’un contrôle en ligne, la CNIL a constaté que des milliers d’images médicales (IRM, radios, scanners, etc.), suivies notamment des noms, prénoms, date de naissance et date de consultation des patients, étaient librement accessibles sur internet.
Il ressort de ces investigations que la violation de données avait pour cause « l’ouverture des ports réseaux de la box internet (…) couplée au paramétrage de la fonction serveur du logiciel d’imagerie » de ces médecins.
La CNIL a considéré qu’il s’agissait, pour ces deux professionnels de santé, d’un manquement à l’obligation d’assurer la sécurité des données, dès lors que la protection du réseau informatique et le chiffrement des données font partie des exigences élémentaires en matière de sécurité informatique.
La CNIL a également relevé que les médecins n’avaient pas pris le soin de chiffrer les données contenues dans leurs ordinateurs fixes et portables. « Or, en l’absence de chiffrement, précise la CNIL, les données médicales contenues dans le disque dur de ces ordinateurs étaient lisibles en clair par toute personne prenant possession de ces appareils (par exemple, à la suite de leur perte ou de leur vol) ou par toute personne s’introduisant de manière indue sur le réseau auquel ces appareils étaient raccordés. »
La CNIL a par ailleurs retenu un manquement à l’obligation de notifier les violations de données, notification qui aurait dû être effectuée après qu’ils aient appris l’existence d’une telle violation, la CNIL précisant que « la circonstance que la violation de données avait été portée à [leur] connaissance par le service des contrôles de la CNIL ne [les] déchargeait pas de cette obligation ».
En conclusion la CNIL souligne que : « Si la formation restreinte n’a pas considéré nécessaire que l’identité des médecins concernés soit rendue publique, elle a néanmoins souhaité assurer la publicité de ces décisions pour alerter les professionnels de la santé sur leurs obligations et la nécessité de renforcer leur vigilance sur les mesures de sécurité apportées aux données personnelles qu’ils traitent. Cette vigilance doit les conduire à choisir les solutions applicatives présentant le maximum de garanties en termes de sécurité informatique et de protection des données personnelles. Elle doit également les inciter à la prudence au moment de l’élaboration et du paramétrage de leur système informatique interne, en s’entourant si nécessaire de prestataires compétents en la matière. »
Lien vers les décision : https://www.cnil.fr/fr/violations-de-donnees-de-sante-la-cnil-sanctionne-deux-medecins
