GDPD (Italie), 15 décembre 2022
L’autorité de contrôle italienne a sanctionné une agence sanitaire italienne pour avoir établi un profil de risque de patients en cas de contraction de la covid-19 en méconnaissance de nombreux principes du RGPD.
Dans le but de mettre en œuvre « des interventions préventives de prise en charge du patient », une agence sanitaire italienne a créé des « profils de risques sanitaires » afin de « classer les patients considérés comme étant à risque ».
Plus précisément, l’agence sanitaire a accédé à une base de données comportant les données de santé de près de 40 000 personnes et a effectué sur cette base un traitement algorithmique.
L’algorithme profilait les personnes et dressait une liste des patients les plus à risques en cas d’infection à la covid-19.
Alerté par l’existence de ce traitement, l’autorité de contrôle italienne a ouvert une enquête et considéré que le traitement était illégal car (i) violait le principe de licéité (article 5§1a du RGPD) et (ii) était réalisé en violation de l’interdiction de traiter des données de santé (article 9 du RGPD).
Plus encore, le responsable du traitement n’avait pas fourni aux personnes concernées les informations nécessaires (articles 12 à 14 du RGPD) et n’avait pas réalisé d’analyse d’impact relative à la protection des données personnelles, compte tenu notamment du grand nombre de personnes concernées par le traitement de données de santé (article 35 du RGPD).
En conséquence, l’autorité de contrôle a prononcé une amende de 55.000 € à l’encontre de l’agence sanitaire.
Lien : ici
