La CNIL sanctionne deux médecins pour violation de données de santé
La CNIL a annoncé le 17 décembre dernier infliger deux amendes de 3 000 et 6 000 euros à l’encontre de deux médecins libéraux pour avoir insuffisamment protégé les données personnelles de leurs patients. Outre ces insuffisances, ils n’ont pas notifié cette violation de données au gendarme de la vie privée.
Ils n’ont pas protégé les données personnelles de leurs patients, dont les images médicales étaient librement accessibles sur Internet. Ils n’ont pas non plus informé la CNIL de la violation des données personnelles de leur patientèle. Deux raisons qui ont justifié pour le gendarme français de la vie privée les amendes infligées à deux médecins, selon une décision datée du 17 décembre.
La CNIL a révélé avoir infligé dans sa formation restreinte deux amendes de 3 000 et 6 000 euros à l’encontre de ces deux médecins libéraux. Elle précise ne pas avoir "considéré nécessaire que l’identité des médecins concernés soit rendue publique"
Des milliers d’images médicales accessibles en ligne
L’autorité explique avoir constaté, à la suite d’un contrôle en ligne réalisé en septembre 2019, la libre accessibilité sur le web de milliers d’images médicales hébergées sur des serveurs appartenant à deux médecins libéraux.
Lors des auditions de contrôle, les médecins ont reconnu que les violations de données avaient pour origine "un mauvais choix de configuration de leur box Internet ainsi qu’un mauvais paramétrage de leur logiciel d’imagerie médicale". Les investigations menées par l’autorité française ont également permis d’établir que les images médicales conservées sur leurs serveurs n’étaient pas systématiquement chiffrées.
Sur la base de ces éléments, la formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a relevé que les deux médecins s’étaient affranchis des principes élémentaires en matière de sécurité informatique. Elle a retenu un manquement à l’obligation de sécurité des données (article 32 du RGPD), "en considérant qu’ils auraient notamment dû s’assurer que la configuration de leurs réseaux informatiques ne conduisait pas à rendre les données librement accessibles sur Internet et procéder au chiffrement systématique des données personnelles hébergées sur leurs serveurs".
La formation restreinte a également retenu un manquement à l’obligation de notifier les violations de données à la CNIL, qu’impose l’article 33 du Règlement Général sur la Protection des Données. En effet, les deux médecins n’ont pas effectué ces notifications obligatoires auxquelles ils auraient dû procéder après avoir appris que les images médicales de leurs patients étaient librement accessibles sur Internet.
Le recours aux prestataires recommandé
La CNIL souhaite "assurer la publicité de ces décisions pour alerter les professionnels de la santé sur leurs obligations et la nécessité de renforcer leur vigilance sur les mesures de sécurité apportées aux données personnelles qu’ils traitent".
Elle préconise l’usage de solutions applicatives présentant "le maximum de garanties en termes de sécurité informatique et de protection des données personnelles" et alerte sur "la prudence au moment de l’élaboration et du paramétrage de leur système informatique interne, en s’entourant si nécessaire de prestataires compétents en la matière".
En juillet dernier, le site Doctolib avait été victime d'un "acte de malveillance", au cours duquel, prénom, sexe et âge d'utilisateurs de la fameuse plateforme de prise de rendez-vous médicaux ont ainsi été dérobés par les auteurs de l'attaque informatique.
SUR LE MÊME SUJET
La CNIL sanctionne deux médecins pour violation de données de santé
Tous les champs sont obligatoires
0Commentaire
Réagir