ANSPDCP (Roumanie), 31 janvier 2023
L’autorité de contrôle roumaine a condamné un cabinet dentaire pour avoir publié, dans un article de blog spécialisé, les données de santé de l’un de ses patients sans son consentement.
Le patient d’un cabinet dentaire a constaté que ses données de santé relatives à son traitement orthodontique (à savoir un ensemble de radiographies et de photographies), avaient été publiées sur un article de blog spécialisé sans son consentement.
Le patient a alerté le cabinet dentaire, qui, bien qu’ayant connaissance de l’existence d’une violation de données de santé, ne l’a pas notifié à l’autorité de contrôle compétente.
Face à l’inaction du cabinet dentaire, le patient a déposé une plainte.
Au cours de son enquête, l’autorité de contrôle a considéré, d’une part, que faute de pouvoir apporter la preuve de l’obtention du consentement du patient, le traitement opéré par le cabinet dentaire n’était fondé sur aucune base légale, méconnaissant ainsi les articles 6 et 9 du RGPD.
L’autorité a constaté, d’autre part, que le cabinet médical, pourtant alerté, n’avait pas notifié la violation de données à l’autorité de contrôle dans les 72 heures, manquant ainsi aux dispositions de l’article 33 du RGPD.
Elle a rappelé, enfin, que dès lors qu’un cabinet dentaire traite des données de santé dans le cadre de la fourniture de soins, l’utilisation de telles données à d’autres fins nécessite (i) de se fonder sur une base légale valide, (ii) d’informer la personne concernée et, (iii) selon les circonstances, de prendre les mesures techniques et organisationnelles adaptées, en particulier d’anonymisation ou de pseudonymisation, ce que le cabinet dentaire n’avait pas fait en l’espèce.
Compte tenu de ces manquements, l’autorité de contrôle a infligé au cabinet médical une amende d’environ 1.000 €.
Source : ici