GDPD (Italie), 24 novembre 2022
Un médecin a été sanctionné par l’autorité de contrôle italienne pour avoir publié dans sa thèse, accessible sur internet, des données non anonymisées.
Sous la supervision d’un psychiatre référent, un couple a réalisé une consultation auprès d’un interne en médecine se spécialisant en psychiatrie.
Le couple a, par la suite, appris de manière fortuite que ladite consultation, qui avait été relatée dans la thèse de l’interne, avait été publiée sur un site internet dédié aux publications scientifiques. Par ailleurs, la thèse comportait de nombreuses données personnelles les concernant, et notamment leur âge (ainsi que celui de leurs enfants), mais également leur profession, leurs histoires familiales respectives et de nombreux autres éléments d’ordre personnel. Seuls les noms avaient été pseudonymisés.
Le couple a déposé une plainte auprès de l’autorité de contrôle italienne qui a constaté que la thèse « contenait les données personnelles (y compris des données de santé) » du couple, et que le médecin « avait effectué un traitement de données personnelles en violation [du RGPD] ».
Pour sa défense, le médecin se prévalait de l’anonymisation des noms de famille. Mais l’autorité de contrôle a rappelé que le simple remplacement du nom de famille par un pseudonyme n’est pas une mesure appropriée pour garantir l’anonymisation des données à caractère personnel et, en tout état de cause, que le seul fait d’avoir eu recours à un psychiatre est déjà une donnée de santé.
Constatant (i) l’absence de base légale, conformément aux articles 6 et 9 du RGPD, et, à défaut (ii) l’absence d’anonymisation en bonne et due forme, l’autorité de contrôle italienne a infligé au médecin une amende de 1.000 euros.
Lien : ici