Par Haas Avocats
Le 5 septembre 2024, la Commission Nationale de l’Informatique et des Libertés (CNIL) a, sanctionné la société CEGEDIM SANTE d’une amende de 800.000 € pour avoir notamment traité des données de santé sans autorisation.
La société CEGEDIM SANTÉ développe et commercialise des logiciels de gestion destinés aux médecins de ville travaillant en cabinet ou en centre de santé. Ces logiciels, utilisés par environ 25.000 cabinets médicaux et 500 centres de santé, permettent la gestion des agendas, des dossiers patients ainsi que des prescriptions.
A l’occasion de contrôles effectués par la CNIL en 2021, il a été constaté que, dans le cadre de l'utilisation de l'un de ces logiciels, des données de santé non anonymisées avaient été traitées sans autorisation. Ces données étaient transmises aux clients de la société dans le but de réaliser des études et statistiques dans le domaine médical.
Cette décision souligne l’importance du respect des formalités préalables en matière de traitement des données de santé, ainsi que la distinction cruciale entre anonymisation et pseudonymisation, particulièrement dans le contexte des entrepôts de données de santé.
La présence de données pseudonymes soumises à la réglementation sur les données personnelles
La société CEGEDIM SANTÉ avait proposé à certains praticiens de participer à un « observatoire », une initiative permettant de collecter des données issues des dossiers patients à des fins d’études et de statistiques.
Ces données, transmises à des tiers, n’étaient pas anonymisées, comme l’a relevé la CNIL lors de ses investigations, mais seulement pseudonymisées.
Si les données anonymisées échappent à la réglementation sur la protection des données, les données pseudonymisées, elles, demeurent des données personnelles car elles peuvent être réidentifiées avec des moyens raisonnables[1].
Or, selon les éléments recueillis par la CNIL, CEGEDIM SANTÉ collectait un grand nombre de données sur les personnes concernées (telles que : l’année de naissance, le sexe, la catégorie socio-professionnelle, les allergies, les antécédents médicaux, la taille, le poids, le diagnostic, les prescriptions médicales, les arrêts de travail et les résultats d’analyse). Ces données étaient rattachées à un identifiant unique par patient, permettant de reconstituer leur parcours de soins et d’associer successivement l’ensemble des données les concernant.
Cette possibilité de réidentifier les personnes concernées a conduit la CNIL à qualifier ces données de pseudonymes, soumises dès lors au respect du cadre légal des données personnelles.
Un entrepôt de données de santé non-autorisé
Le régime juridique applicable aux entrepôts de données de santé répond à des exigences spécifiques en termes de formalités préalables. Ainsi, en l'absence de consentement explicite des personnes concernées, la collecte et l'utilisation de ces données doivent être autorisées par la CNIL ou être conformes à l’un de ses référentiels[2].
CEGEDIM SANTÉ n’ayant respecté aucune de ces conditions, la CNIL a estimé que la société exploitait un entrepôt de données de santé illégal.
Pour rappel, la notion d'entrepôt de données de santé, conceptualisée par la CNIL, se fonde sur plusieurs indices, dont :
- la collecte massive et continue de données de patients
- leur réutilisation à des fins d’études, et
- l’alimentation progressive de la base de données.
La société se trouvait donc en violation directe de l’article 66 de la loi Informatique et Libertés, qui impose l’autorisation préalable de la CNIL pour tout traitement de données de santé à des fins de recherche ou d'intérêt public.
Des manquements au principe de licéité des traitements
Un autre manquement relevé par la CNIL porte sur l’utilisation du téléservice « HRi », mis en place par l’assurance maladie. Ce téléservice permettait aux médecins de consulter l’historique des remboursements de leurs patients sur les douze derniers mois. Toutefois, la société CEGEDIM SANTÉ a été sanctionnée pour avoir permis une collecte automatique de ces données lors de la simple consultation par les médecins, sans offrir la possibilité de limiter leur utilisation.
La CNIL a jugé que cette pratique contrevenait au principe de licéité prévu à l’article 5.1.a du RGPD, qui impose que les données personnelles soient traitées de manière licite, loyale et transparente.
La CNIL a sanctionné la société CEGEDIM SANTÉ à hauteur de 800.000 €, en prenant en compte la gravité des manquements, le caractère sensible des données de santé en cause, et le volume important de données traitées. La formation restreinte n’a cependant pas prononcé d’injonction de mise en conformité, la société ayant depuis transféré la responsabilité du traitement des données à une autre entité du groupe.
Cette décision marque un rappel fort à destination des acteurs de la santé en France quant à l’importance des formalités préalables et de la distinction entre anonymisation et pseudonymisation. Le traitement des données de santé demeure un domaine particulièrement sensible et encadré par des règles strictes, tant au niveau national qu'européen.
Ces sanctions visaient principalement la mise en œuvre de traitements illicites, le manquement au principe de minimisation des données personnelles, l’absence de moyen permettant de refuser les cookies, le défaut de coopération avec la CNIL ainsi que la violation de l’obligation d’information.
Ainsi, dire que le pouvoir de la CNIL est amoindri serait quelque peu de mauvaise foi, tant aujourd’hui son spectre d’action est plus étendu, même pour les infractions les plus minimes.
En effet, la création de la procédure simplifiée permet donc de pouvoir sanctionner pour des montants plus restreints que ceux imposés par le RGPD.
Force est de constater que la CNIL dispose aujourd'hui d'un pouvoir de surveillance très étendu qui fait son effet. Par conséquent, même les plus petites entreprises doivent faire preuve de prudence dans le traitement des données personnelles. La remédiation n’est donc pas réservée aux grands groupes. Ce pouvoir étendu et la diversité des contrôles rend la CNIL toujours aussi dissuasive.
Dans cette optique, il est essentiel de bénéficier d'un accompagnement pour se conformer aux directives du RGPD et ainsi éviter toute sanction de la part de la CNIL.
***
Si vous souhaitez bénéficier d’un accompagnement personnalisé : le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Conformément à l’Avis 05/2014 du G29 sur les techniques d’anonymisation
[2] Conformément à l’article 66. II et III de la loi informatiques et libertés
