Défaut de chiffrement des données de santé : deux médecins sanctionnés par la CNIL.

Après avoir récemment sanctionné Google, Amazon ou encore Carrefour, l’autorité de protection des données française a sanctionné deux médecins pour violation au RGPD. Ces décisions rendues [1], cette fois-ci, à l’encontre de personnes physiques, semblent acter la fin de la période transitoire accordée par la CNIL aux responsables de traitement pour assurer leur mise en conformité. Cette décision devrait inviter les responsables de traitement, quelle que soit sa taille, sa structure, à se conformer aux dispositions du RGPD.

Que s’est-il passé ?

La CNIL a procédé à des contrôles en ligne en septembre 2019 suite à un signalement indiquant l’accès libre à des serveurs informatiques d’imagerie médicale permettant la consultation ainsi que le téléchargement d’images médicales. Ces contrôles ont permis de retrouver les adresses IP de deux médecins.

Dans ces affaires, la formation restreinte a estimé que certaines données de santé étaient restées en libre accès depuis environ 5 ans et qu’en tout, plus de 6 500 séries d’images de santé ont été rendues accessibles. Elles comprenaient

« pour chacune de ces séries, outre l’image médicale, les nom, prénoms et date de naissance de chaque patient, la date de réalisation de l’examen, le nom du praticien référent et du praticien ayant réalisé l’examen et le nom de l’établissement dans lequel celui-ci a eu lieu ».

Les médecins indiquaient que la violation de données de santé résultait du mauvais paramétrage de leur box Internet ainsi que de la fonction serveur de leur logiciel d’imagerie.

En cause, l’absence de chiffrement des données médicales.

La formation restreinte a constaté que les médecins n’avaient « pas non plus pris soin de chiffrer les données contenues » dans leurs outils professionnels respectifs.

L’un a, par ailleurs, estimé que le chiffrement provoquait un ralentissement dans l’exécution des applications (dossier médical, outil de visualisation des images…).

La CNIL a donc rappelé que l’absence de chiffrement permettrait à toute personne, s’introduisant de manière indue sur le réseau auquel l’ordinateur est raccordé, d’accéder aux données contenues dans le disque dur de l’ordinateur de manière lisible et en clair.

A cet égard, la CNIL recommande l’usage de certains moyens de chiffrement des postes nomades et supports de stockage mobiles (clés USB, les disques durs externes ou les ordinateurs portables) tels que le chiffrement du disque dur dans sa totalité lorsque cette fonction est proposée par le système d’exploitation.

Quels sont les manquements constatés ?

Les deux délibérations de la formation restreinte de la CNIL font état des mêmes violations au RGPD : le manquement à l’obligation de sécurité des données et le manquement à l’obligation de notifier les violations de données à la CNIL.

L’obligation de sécurité des données :

L’article 32 du RGPD dispose que

« le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque […] ».

Parmi les mesures techniques, l’article mentionne notamment « le chiffrement des données à caractère personnel » ainsi que les moyens garantissant « la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ».

En l’espèce, la CNIL considère qu’il incombait aux responsables de traitement de garantir la sécurité des données traitées en procédant au chiffrement systématique des données personnelles hébergées sur leurs serveurs et en assurant la protection de leur réseau informatique interne.

La CNIL caractérise donc le manquement à l’article 32 du RGPD et souligne à cet effet que la gravité du manquement est d’autant plus caractérisée par l’atteinte portée aux données de santé des patients.

En effet, les données de santés sont une catégorie particulière de données à caractère personnel. Au regard du considérant 75 du RGPD, elles doivent bénéficier de mesures de sécurité renforcées.

L’obligation de notifier les violations de données à la CNIL :

L’article 33 du RGPD impose quant à lui qu’

« en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais ».

Dans ces affaires, cette notification n’a pas été réalisée, ce qui explique la caractérisation à ce manquement. Toutefois, le RGPD prévoit une dérogation à cette obligation lorsque la violation en question n’est pas

« susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ».

Quelles sont les conséquences ?

Le 7 décembre 2020, la formation restreinte de la CNIL a donc infligé une amende administrative respective de 3 000 euros pour l’un et 6 000 euros pour l’autre pour manquement aux articles 32 et 33 du RGPD.

Bien que ces décisions aient été publiées, la formation restreinte a tout de même considéré qu’il n’était pas nécessaire de rendre publique l’identité des médecins concernés.

La publicité de ces décisions est quant à elle destinée à servir d’alerte aux professionnels de santé s’agissant de leurs obligations liées à leur rôle de responsable de traitement.

Claudia Weber, avocat associé & Céline Dogan, juriste - ITLAW Avocats - www.itlaw.fr

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

2 votes

Notes de l'article:

[1Délibération SAN-2019-014 du 7 décembre 2020 ; Délibération SAN-2019-015 du 7 décembre 2020.

Commenter cet article

Vos commentaires

  • Cette décision de la CNIL devrait rappeler à tous les professionnels qui manipulent des données personnelles, et d’autant plus que ces données à eux confiées sont de caractère sensibles, qu’ils ont une obligation d’en préserver la sécurité et l’intégrité. Les transferts par e-mail
    Sans chiffrement ou lorsqu’il y a utilisation de liens de transfert de fichiers sans chiffrement, ils engagent leur responsabilité. RGPD article 80 : recours en préjudice pour ‘distress’ ou perte de contrôle à titre individuel ou class action. Le professionnel doit s’assurer que toutes les mesures possibles sont prises pour garantir la sécurité. Ceci sans oublier les contrats qui lient le professionnel aux sous-traitants.

A lire aussi dans la même rubrique :

Bienvenue sur le Village de la Justice.

Le 1er site de la communauté du droit, certifié 4e site Pro en France: Avocats, juristes, fiscalistes, notaires, huissiers, magistrats, RH, paralegals, étudiants... y trouvent services, informations, contacts et peuvent échanger et recruter. *

Aujourd'hui: 145 320 membres, 21756 articles, 126 432 messages sur les forums, 4 800 annonces d'emploi et stage... et 2 300 000 visites du site par mois. *


LEGAL DESIGN

Le nouveau Dossier du Village pour mieux comprendre le phénomène.

Focus sur >

Offres d'emploi et de stages : le Village classé 5 * et 1er site d'emploi juridique !




LES HABITANTS

Membres

PROFESSIONNELS DU DROIT

Solutions

Formateurs