GPDP (Italie) 26 mai 2022
L’autorité de contrôle italienne a sanctionné un établissement de santé pour avoir permis aux professionnels de santé non impliqués dans le processus de traitement d’accéder aux dossiers médicaux des patients.
Après avoir reçu une plainte et deux notifications de violations de données, l’autorité de contrôle a ouvert une enquête à l’encontre d’un établissement de santé qui permettait l’accès aux dossiers médicaux de patients par des professionnels de santé qui n’étaient pas impliqués dans le processus de traitement.
Interrogé, l’établissement de santé a détaillé les critères d’accès aux dossiers médicaux par les professionnels de santé :
- Si le patient est « en cours de traitement » (c’est-à-dire qu’il est présent dans un des services de l’établissement), son dossier médical est accessible à tout le personnel de santé.
- Si le patient n’est pas en cours de traitement, l’accès à son dossier médical est réservé aux seuls personnels de santé qui déclarent qu’ils ont le droit de consulter lesdites données. En l’absence de déclaration (engageant la responsabilité du professionnel de santé), le système se bloque et l’accès au dossier est refusé.
Au cours de son enquête, l’autorité de contrôle a reproché à l’établissement de santé :
- d’une part, de permettre à tout professionnel de santé d’accéder aux dossiers médicaux des patients en cours de traitement sans limiter l’accès « au seul personnel soignant qui traite effectivement le patient », et ;
- d’autre part, comme en témoignent les notifications de violation de données et la plainte reçue, de ne pas suffisamment empêcher l’accès aux dossiers médicaux des patients qui ne sont pas en cours de traitement aux seuls professionnels de santé autorisés, notamment en omettant d’installer un système d’alerte permettant de « détecter toute anomalie pouvant constituer un traitement illicite ».
Rappelant le principe selon lequel « l’accès au dossier médical doit être limité aux professionnels de santé impliqués dans le processus de soins du patient », l’autorité de contrôle a considéré que l’établissement de santé avait violé (i) les principes d’intégrité et de confidentialité (article 5 du RGPD) et (ii) les règles encadrant le traitement de catégories particulières de données à caractère personnel (article 9 du RGPD).
Plus encore, l’établissement de santé, en tant que responsable du traitement, n’a pas respecté les principes de protection des données dès la conception et la protection des données par défaut (article 25 du RGPD) ni mis en œuvre les mesures de sécurité adéquates (article 32 du RGPD).
En conséquence, l’autorité de contrôle a infligé une amende de 70 000 € à l’établissement de santé.
Lien vers la décision : ici
Décision similaire : ici
