Médecins, professionnels de santé, sécurisez les données de vos patients

Médecins, professionnels de santé, sécurisez les données de vos patients

Par Gérard Haas

Les contrôles de la CNIL n’épargnent pas les professionnels de santé !

Par des délibérations en date du 7 décembre 2020[1], deux médecins libéraux ont écopé d’une amende d’un montant respectif de 3.000 € et 6.000€.

En effet au cours d’un contrôle en ligne, la CNIL a constaté que des milliers d’images médicales telles que des IRM, scanners, ou encore radios se trouvaient en libre accès sur Internet, permettant ainsi leur consultation et leur téléchargement. Au cœur de ces documents se trouvaient notamment les noms, prénoms, date de naissance, mais également les dates de consultation d’une multitude de patients.

La justification de telles amendes était double : d’une part, les professionnels de santé n’avaient pas suffisamment protégées les données à caractère personnel de leurs patients, et d’autre part, ils n’avaient procédé à aucune notification après avoir eu connaissance d’une violation de ces données.

1. Un manquement à l’obligation de sécurité des données


Pour la CNIL, l’origine de ces sanctions résidaient dans un manquement de ces deux médecins à leur obligation d’assurer la sécurité des données, strictement encadrée par le RGPD. En effet, conformément à l’article 32 de ce règlement, il incombe à tout responsable de traitement de mettre en œuvre des mesures techniques et organisationnelles adaptées afin de garantir un niveau de sécurité adapté au risque[2].

A travers ces délibérations, l’autorité nationale de protection des données personnelles a rappelé le caractère fondamental, pour un responsable de traitement, d’assurer la protection du réseau informatique interne et de procéder au chiffrement des données à caractère personnel traitées

Au cas présent, les médecins avaient commis deux fautes à l’origine de la violation de données :

D’une part, les professionnels de santé avaient réalisé un mauvais paramétrage de leur box Internet mais également de la fonction serveur de leur logiciel d’imagerie médicale ;

D’autre part, les médecins n’avaient pas procédé au chiffrement des données relatives à leurs patients, les rendant ainsi lisibles par toute personne se trouvant en possession de leurs ordinateurs fixes ou portables, ou toute personne s’introduisant illicitement sur le réseau auquel étaient raccordés ces terminaux.

A ce titre, il est à noter que le manquement à l’obligation de sécurité était en l’espèce d’une particulière gravité : les médecins mettent en œuvre des traitements de données de santé dont la sensibilité implique, par nature, de déployer des mesures de sécurité renforcées[3].

2. Un manquement à l’obligation de notification des violations de données

Au-delà d’un manquement à leur obligation de sécurité, la CNIL a également relevé un manquement des médecins à leur obligation de notifier les violations de données, strictement encadrée par la règlementation européenne en matière de protection des données.

L’article 33 du RGPD prévoit à ce titre qu’en cas de violation de données à caractère personnel, le responsable de traitement doit en informer l’autorité de contrôle compétente dans les meilleurs délais, si possible 72 heures au plus tard après en avoir pris connaissance.

Au cas présent, les médecins libéraux n’ont procédé à aucune notification après avoir constaté que les images médicales de leurs patients se trouvaient en libre accès sur Internet.

Le RGPD prévoit toutefois une dérogation à cette obligation de notification, notamment lorsque la violation de données n’est « pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques »[4].

Ici, les professionnels de santé ne pouvaient en aucun cas se prévaloir de cette exception dès lors que la violation portait sur des milliers de données sensibles, dont l’atteinte présente nécessairement des risques élevés pour la vie privée des personnes concernées.

Ces sanctions ont donc le mérite de rappeler à tous les professionnels de santé le caractère fondamental de la protection des données personnelles. Deux enseignements semblent transparaître des délibérations rendues par la CNIL :

- Les médecins libéraux agissant en qualité de responsables de traitement ne sont pas à l’abri des contrôles réalisés par la CNIL, dont le déploiement s’intensifie du fait de la mise en œuvre de contrôles en ligne depuis 2014.

- Les professionnels de santé procèdent à des traitements massifs de données de santé. Du fait de la particulière sensibilité de ces informations, les responsables de traitements doivent impérativement déployer des mesures de protection de nature à garantir la sécurité des traitements réalisés. En ce sens, il est opportun d’être accompagné par des prestataires spécialisés en la matière.

Dans le cadre de leur activité, les professionnels de santé se voient imposer de strictes obligations liées à leur rôle de responsable de traitement : il est désormais urgent de se mettre en conformité avec le RGPD.

***

Vous êtes un professionnel de santé et vous vous interrogez sur vos obligations au titre du RGPD ?

Le cabinet HAAS Avocats est spécialisé depuis plus de 20 ans dans la protection des données personnelles et se tient à vos côtés pour vous accompagner dans la conformité de vos traitements de donnéesPour en savoir plus, contactez-nous ici.

 

[1] Délibération SAN-2020-014 du 7 décembre 2020 et délibération SAN-2020-015 du 7 décembre 2020

[2] Article 32, 1° du RGPD

[3] Conformément au considérant 75 du RGPD

[4] Conformément à l’article 33, 1° du RGPD

Gérard HAAS

Auteur Gérard HAAS

Suivez-nous sur Linkedin