Le 7 décembre, la CNIL a infligé des amendes de 3000 et 6000 euros à deux médecins libéraux pour sécurité insuffisante et défaut de notification d’une violation de données de santé de leurs patients.

La mise en garde : tous concernés par le RGPD !

Après les sanctions Google et Amazon, la CNIL nous rappelle ici l’esprit de responsabilisation des acteurs porté par le RGPD. Les responsables de traitement, quelles que soient leur taille et leur structure, doivent appliquer la règlementation. Tous peuvent donc être sanctionnés sur le fondement de la protection des données personnelles, et non seulement les grandes entreprises multinationales !

Dans cette affaire, il s’agissait de deux médecins libéraux, et si les montants sont proportionnés à l’échelle de leur activité, il n’en reste pas moins que le risque de sanction ne se limite pas à l’ampleur de l’activité. La CNIL a ainsi fait le choix de ne pas divulguer l’identité des médecins concernés, mais de publier sa décision afin d’alerter les professionnels, notamment de santé, sur leurs obligations en matière de sécurité des données personnelles.

L’affaire : manquements aux exigences de sécurité des données personnelles

Dans cette affaire, les deux médecins avaient fait de mauvais choix quant aux mesures de sécurisation des données qu’ils traitaient. La CNIL a ainsi constaté une configuration risquée de la box internet, et un paramétrage de sécurité insuffisant du logiciel de gestion des données. Les données d’imagerie médicale traitées n’étaient en outre pas systématiquement chiffrées en vue de leur stockage, ce qui avait permis de les rendre facilement accessibles sur internet.

Les responsables de traitement n’avaient donc pas fait en sorte d’assurer un niveau suffisant de protection. Il s’agit là d’un manquement à l’article 32 du RGPD qui exige que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

En outre, suite à une faille de sécurité arrivée du fait de cette sécurisation insuffisante, les médecins n’avaient pas notifié la violation de données à la CNIL, comme prévu à l’article 33 du RGPD. Or, il s’agissait de données de santé, données sensibles devant faire l’objet d’une vigilance renforcée et dont la fuite posait un risque élevé pour les personnes concernées.

Pour approfondir

>> Voir le communiqué de la CNIL >>