Le Quotidien du 22 décembre 2020 : Données personnelles

[Brèves] Violations de données de santé : la CNIL sanctionne deux médecins

Réf. : CNIL, délibérations n° SAN-2019-014 (N° Lexbase : X4458CM3) et n° SAN-2019-015 (N° Lexbase : X4459CM4), 7 décembre 2020

Lecture: 3 min

N5823BYC

Citation copiée !

Citer l'article

Créer un lien vers ce contenu

Référence copiée !
[Brèves] Violations de données de santé : la CNIL sanctionne deux médecins. Lire en ligne : https://www.lexbase.fr/article-juridique/63015974-breves-violations-de-donnees-de-sante-la-cnil-sanctionne-deux-medecins
Copier

par Marie-Lou Hardouin-Ayrinhac

le 06 Janvier 2021

►Par ses deux délibérations en date du 7 décembre 2020, la formation restreinte de la CNIL inflige deux amendes de 3 000 euros et 6 000 euros à l’encontre de deux médecins libéraux pour avoir insuffisamment protégé les données personnelles de leurs patients et ne pas avoir notifié une violation de données à la CNIL conformément au « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I).

Faits et procédure. À la suite d’un contrôle en ligne réalisé en septembre 2019, la CNIL a constaté que des milliers d’images médicales hébergées sur des serveurs appartenant à deux médecins libéraux étaient librement accessibles sur internet.

Lors des auditions de contrôle, les médecins ont reconnu que les violations de données avaient pour origine un mauvais choix de configuration de leur box internet ainsi qu’un mauvais paramétrage de leur logiciel d’imagerie médicale. Les investigations menées ont également permis d’établir que les images médicales conservées sur leurs serveurs n’étaient pas systématiquement chiffrées.

Manquement à l’obligation de sécurité des données (« RGPD », art. 32). Sur la base de ces éléments, la formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a relevé que les deux médecins s’étaient affranchis des principes élémentaires en matière de sécurité informatique.

Elle a retenu un manquement à l’obligation de sécurité des données, considérant qu’ils auraient notamment dû s’assurer que la configuration de leurs réseaux informatiques ne conduisait pas à rendre les données librement accessibles sur internet et procéder au chiffrement systématique des données personnelles hébergées sur leurs serveurs.

Manquement à l’obligation de notifier les violations de données à la CNIL (« RGPD », art. 33). La formation restreinte a également retenu un manquement à l’obligation de notifier les violations de données à la CNIL.

En effet, les deux médecins n’ont pas effectué ces notifications obligatoires auxquelles ils auraient dû procéder après avoir appris que les images médicales de leurs patients étaient librement accessibles sur internet.

Objectif de la publicité des décisions. Si la formation restreinte n’a pas considéré nécessaire que l’identité des médecins concernés soit rendue publique, elle a néanmoins souhaité assurer la publicité de ces décisions pour alerter les professionnels de la santé sur leurs obligations et la nécessité de renforcer leur vigilance sur les mesures de sécurité apportées aux données personnelles qu’ils traitent.

Cette vigilance doit les conduire à choisir les solutions applicatives présentant le maximum de garanties en termes de sécurité informatique et de protection des données personnelles. Elle doit également les inciter à la prudence au moment de l’élaboration et du paramétrage de leur système informatique interne, en s’entourant si nécessaire de prestataires compétents en la matière.

Décision. La formation restreinte de la CNIL a prononcé deux amendes de 3 000 euros et 6 000 euros à l’encontre des deux médecins libéraux.

© Reproduction interdite, sauf autorisation écrite préalable

newsid:475823

Vos notes

add
  • Aucune note pour le moment
Ajouter une nouvelle note


Utilisation des cookies sur Lexbase

Notre site utilise des cookies à des fins statistiques, communicatives et commerciales. Vous pouvez paramétrer chaque cookie de façon individuelle, accepter l'ensemble des cookies ou n'accepter que les cookies fonctionnels.

En savoir plus

Parcours utilisateur

Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.

Réseaux sociaux

Nous intégrons à Lexbase.fr du contenu créé par Lexbase et diffusé via la plateforme de streaming Youtube. Ces intégrations impliquent des cookies de navigation lorsque l’utilisateur souhaite accéder à la vidéo. En les acceptant, les vidéos éditoriales de Lexbase vous seront accessibles.

Données analytiques

Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.