Défaut de chiffrement des données de santé : deux médecins sanctionnés par la CNIL

Après avoir récemment sanctionné Google, Amazon ou encore Carrefour, l’autorité de protection des données française a sanctionné deux médecins pour violation au RGPD. Ces décisions rendues[1], cette fois-ci, à l’encontre de personnes physiques, semblent acter la fin de la période transitoire accordée par la CNIL aux responsables de traitement pour assurer leur mise en conformité.

Cette décision devrait inviter les responsables de traitement, quelle que soit sa taille, sa structure, à se conformer aux dispositions du RGPD.

Que s’est-il passé ?

La CNIL a procédé à des contrôles en ligne en septembre 2019 suite à un signalement indiquant l’accès libre à des serveurs informatiques d’imagerie médicale permettant la consultation ainsi que le téléchargement d’images médicales. Ces contrôles ont permis de retrouver les adresses IP de deux médecins.

Dans ces affaires, la formation restreinte a estimé que certaines données de santé étaient restées en libre accès depuis environ 5 ans et qu’en tout, plus de 6500 séries d’images de santé ont été rendues accessibles. Elles comprenaient « pour chacune de ces séries, outre l’image médicale, les nom, prénoms et date de naissance de chaque patient, la date de réalisation de l’examen, le nom du praticien référent et du praticien ayant réalisé l’examen et le nom de l’établissement dans lequel celui-ci a eu lieu ».

Les médecins indiquaient que la violation de données de santé résultait du mauvais paramétrage de leur box Internet ainsi que de la fonction serveur de leur logiciel d’imagerie.

En cause, l’absence de chiffrement des données médicales

La formation restreinte a constaté que les médecins n’avaient « pas non plus pris soin de chiffrer les données contenues » dans leurs outils professionnels respectifs. L’un a, par ailleurs, estimé que le chiffrement provoquait un ralentissement dans l’exécution des applications (dossier médical, outil de visualisation des images…).

La CNIL a donc rappelé que l’absence de chiffrement permettrait à toute personne, s’introduisant de manière indue sur le réseau auquel l’ordinateur est raccordé, d’accéder aux données contenues dans le disque dur de l’ordinateur de manière lisible et en clair.

A cet égard, la CNIL recommande l’usage de certains moyens de chiffrement des postes nomades et supports de stockage mobiles (clés USB, les disques durs externes ou les ordinateurs portables) tels que le chiffrement du disque dur dans sa totalité lorsque cette fonction est proposée par le système d’exploitation.

Quels sont les manquements constatés ?

Les deux délibérations de la formation restreinte de la CNIL font état des mêmes violations au RGPD : le manquement à l’obligation de sécurité des données et le manquement à l’obligation de notifier les violations de données à la CNIL.

L’obligation de sécurité des données :

L’article 32 du RGPD dispose que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque […] ». Parmi les mesures techniques, l’article mentionne notamment « le chiffrement des données à caractère personnel » ainsi que les moyens garantissant « la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ».

En l’espèce, la CNIL considère qu’il incombait aux responsables de traitement de garantir la sécurité des données traitées en procédant au chiffrement systématique des données personnelles hébergées sur leurs serveurs et en assurant la protection de leur réseau informatique interne.

La CNIL caractérise donc le manquement à l’article 32 du RGPD et souligne à cet effet que la gravité du manquement est d’autant plus caractérisée par l’atteinte portée aux données de santé des patients.

En effet, les données de santés sont une catégorie particulière de données à caractère personnel. Au regard du considérant 75 du RGPD, elles doivent bénéficier de mesures de sécurité renforcées.

L’obligation de notifier les violations de données à la CNIL :

L’article 33 du RGPD impose quant à lui qu’ « en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais ».

Dans ces affaires, cette notification n’a pas été réalisée, ce qui explique la caractérisation à ce manquement. Toutefois, le RGPD prévoit une dérogation à cette obligation lorsque la violation en question n’est pas « susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ».

Quelles sont les conséquences ?

Le 7 décembre 2020, la formation restreinte de la CNIL a donc infligé une amende administrative respective de 3000 € pour l’un et 6000 € pour l’autre pour manquement aux articles 32 et 33 du RGPD.

Bien que ces décisions aient été publiées, la formation restreinte a tout de même considéré qu’il n’était pas nécessaire de rendre publique l’identité des médecins concernés. La publicité de ces décisions est quant à elle destinée à servir d’alerte aux professionnels de santé s’agissant de leurs obligations liées à leur rôle de responsable de traitement.

 

Claudia Weber, avocat fondateur du Cabinet ITLAW Avocats

et Céline DOGAN, juriste future avocate, ITLAW Avocats

 

Et vous ? où en êtes vous dans votre conformité au RGPD ?

Besoin d’aide ?

ITLAW Avocats met à votre disposition son expérience et son expertise en la matière.

ITLAW Avocat mobilise ses talents et son expertise en matière de protection des données personnelles, de contrats, d’innovation, de projets informatiques complexes et de propriété intellectuelle   ainsi que sa connaissance de l’écosystème IT et son expertise en matière de négociation pour vous accompagner dans la sécurisation de vos projets et leur conformité au RGPD.

Et pour ne rien rater de notre actualité, suivez-nous sur LinkedIn.  

 

[1] Délibération SAN-2019-014 du 7 décembre 2020 ; Délibération SAN-2019-015 du 7 décembre 2020

Nous contacter