La CNIL sanctionne deux médecins pour violations de données de santé

 
sanction CNIL violation de données
 

Et voilà, c’est tombé le 17/12/2020. La CNIL a sanctionné 2 médecins pour violations de données de santé.

 

Résumé des faits

Les 2 médecins exercent en libéral, chacun dans son cabinet. Les 2 médecins libéraux ont commis quasiment les mêmes erreurs.
 
Leur volonté ? Accéder à distance à des images médicales hébergées au domicile ou au cabinet.
 
Un site web a eu accès à des milliers d’images médicales : radios, scanners, IRM, … sur lesquelles sont affichés les noms, prénoms, dates de naissance, lieux et dates de consultation.
 
Ici, c’est de l’open data ! On vous offre sur un plateau de quoi faire tourner votre moteur d’IA. Il n’y a plus qu’à se servir.

 

Les reproches

Ces médecins n’ont pas assez sécurisé les données de santé de leurs patients. Ces 2 médecins se sont pris pour des informaticiens et ont fait eux-mêmes le paramétrage technique.
 
Tout d’abord les connexions n’étaient pas sécurisées. Aucune authentification requise pour accéder aux images, et une mauvaise configuration de leurs réseaux informatiques. Tout est aligné pour accéder simplement aux images.
 
Ensuite, il convient de noter l’absence de chiffrement systématique des images. On peut éventuellement accéder aux images, mais si elles sont chiffrées, la portée de la violation de données est drastiquement réduite !
 
Il y a donc là un manquement manifeste à l’obligation de sécurité des données, avancée par l’article 32 du RGPD.
 
Le 2ème manquement est l’absence de notification à la CNIL de la violation de données.
 
Certes, c’est la CNIL qui apprend aux médecins que les images sont disponibles sur Internet, et qu’il y a violation de données.
 
Le responsable de traitement doit tout de même notifier la CNIL de la violation de données.
 
Ah oui ? Et bien oui, c’est l’article 33 du RGPD qui le prévoit.
 
Pourquoi ce manquement à l’article 33 ? Même si la CNIL vous notifie de la violation de données, vous avez un délai de 72h pour évaluer la portée de cette violation de données, prendre toutes les mesures nécessaires pour en minimiser les conséquences sur la vie privée des personnes concernées et notifier la CNIL.
 
La CNIL tiendra évidement compte de votre réaction dans sa décision.

 

Les sanctions

Les sanctions sont tombées pour manquement aux articles 32 et 33 du RGPD. Chacun des médecins a écopé de 3000€ et de 6000€ d’amendes administratives respectivement, et de la publication publique de la sanction sans nommer les médecins.
 
Dans ce genre de cas, l’amende peut s’élever à 2% du CA ou 10 M€, sachant que le maximum des 2 est retenu.
 
Le 1er médecin avait déclaré 97000€ de revenus en 2018, et le 2nd avait déclaré 8000€ par mois de revenus. Soit respectivement des amendes de 3% et de 6.25% du chiffre d’affaires.
 
Pourquoi alors une telle différence pour apparemment les mêmes faits ?
 
Le second médecin a exposé les images pendant environ 5 ans, tandis que le 1er a exposé les images pendant « seulement » 4 mois.
 
La sanction tient compte de la durée de la violation de données.
 
La sanction ne s’attarde pas beaucoup sur le manquement à l’article 33, qui revêt un caractère plutôt formel.

 

Nos recommandations

Les données médicales ou de santé au sens plus large sont des données sensibles qui méritent une vigilance particulière et des précautions supplémentaires (article 9 du RGPD).
 
Vous devez mettre tout en oeuvre pour sécuriser les données et éviter la violation de données.
 
Il faut avoir recours à des prestataires dont c’est le métier, et qui ont une expertise dans votre domaine (ici la santé).
 
Quand vous hébergez des données de santé sous forme de texte ou d’images (ou autre), il faut les chiffrer systématiquement.

  • Chiffrer les données par un chiffrement symétrique de type AES-256 par exemple, lorsqu’elles sont hébergées
  • Chiffrer également la connexion lors de l’envoi ou de la consultation des données. Un chiffrement de type SSL est suffisant

Enfin, quand vous découvrez une violation, peu importe comment ou par qui, vous avez 72h pour prendre toutes les mesures nécessaires pour en atténuer les effets négatifs, et prévenir la CNIL.
 
La pleine coopération jouera également en votre faveur.

 

Article rédigé par Frédéric – 04/01/2021