APD (Belgique), 19 août 2022
En sanctionnant un laboratoire d’analyses médicales, l’autorité de contrôle belge est venue clarifier ou rappeler certains principes du RGPD.
Après avoir réalisé une analyse médicale au sein d’un laboratoire, un patient a découvert que son médecin traitant avait accès à ses résultats par l’intermédiaire du site internet non sécurisé du laboratoire. Constatant également qu’il n’avait pas été informé du traitement de ses données personnelles et soupçonnant le laboratoire de n’avoir pas réalisé d’analyse d’impact, le patient a déposé une plainte auprès de l’autorité de contrôle belge.
- En premier lieu, l’autorité de contrôle belge a précisé qu’un laboratoire d’analyses médicales doit être considéré comme un responsable du traitement. Effectivement, lors de la venue d’un patient, le laboratoire d’analyses médicales « détermine les finalités et les moyens du traitement » et ne reçoit pas d’instructions, nonobstant le fait que c’est un médecin qui prescrit l’analyse et « envoie » son patient réaliser lesdites analyses ;
- En second lieu, l’autorité de contrôle a considéré que l’utilisation d’une page web non chiffrée (protocole http) sur laquelle apparaissaient les résultats d’analyse, viole le principe d’intégrité et de confidentialité inscrit aux articles 5.1.f et 32 du RGPD ;
- Enfin, l’autorité de contrôle a estimé que le fait de placer des « mentions RGPD » directement dans les centres de prélèvement n’est pas suffisant au titre de l’information des personnes concernées dès lors que le laboratoire d’analyses médicales est amené à procéder à des analyses de patients qui ne se sont pas déplacés dans les locaux. Ainsi, elle considère qu’il appartient au laboratoire de publier une politique de confidentialité sur son site, sauf à violer les articles 12 à 14 du RGPD.
Compte tenu de ce qui précède, l’autorité de contrôle a prononcé une amende de 20.000 € à l’encontre du laboratoire d’analyse médicales pour avoir violé les articles 5.1.f ; 12 ; 13 ; 14 ; 32 et 35 du RGPD
Lien : ici
