La CNIL sanctionne deux médecins

Violations de données de santé : deux médecins sanctionnés...

Le 7 décembre, la CNIL a infligé deux amendes de 3 000 € et 6 000 € à l’encontre de deux médecins libéraux pour avoir insuffisamment protégé les données personnelles de leurs patients et ne pas lui avoir notifié une violation de données (*).


Un contrôle en ligne a permis à la CNIL de constaté que des images médicales hébergées sur les serveurs des médecins libéraux étaient accessibles via Internet.


Les violations de données avaient pour origine un mauvais choix de configuration de la box Internet ainsi qu’un mauvais paramétrage du logiciel d’imagerie médicale. Le contrôle a également permis d’établir que les images médicales conservées sur les serveurs n’étaient pas systématiquement chiffrées.


Sur la base de ces éléments, la CNIL a retenu

  • un manquement à l’obligation de sécurité des données (article 32 du RGPD) : les médecins auraient dû s’assurer que la configuration de leurs réseaux informatiques ne conduisait pas à rendre les données librement accessibles sur Internet et procéder au chiffrement systématique des données personnelles hébergées sur leurs serveurs.

  • un manquement à l’obligation de notifier les violations de données à la CNIL (article 33 du RGPD) après avoir appris que les images médicales de leurs patients étaient librement accessibles sur Internet. Ces notifications sont obligatoires ils auraient dû procéder.

La CNIL n'a pas jugé nécessaire de diffuser l'identité des professionnels de la santé concernés. Par contre elle a souhaité assurer la publicité de ces décisions pour alerter les professionnels de la santé sur leurs obligations et la nécessité de renforcer leur vigilance sur les mesures de sécurité apportées aux données personnelles qu’ils traitent.


Cette vigilance doit ainsi les conduire à choisir les solutions applicatives présentant le maximum de garanties en termes de sécurité informatique et de protection des données personnelles. Elle doit également les inciter à la prudence au moment de l’élaboration et du paramétrage de leur système informatique interne, en s’entourant si nécessaire de prestataires compétents en la matière (CNIL, 17 déc. 2020).

(*) Délibération SAN-2019-014 du 7 décembre 2020

https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042675720

Délibération SAN-2019-015 du 7 décembre 2020

https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042676787

Source

56 vues0 commentaire