Temps de lecture : 3 min 18 s
🔽 Sanction 🔽
Deux médecins libéraux situés à Paris ont été sanctionnés en décembre par la CNIL pour violation des données à caractère personnel concernant leurs patients.
1ere affaire :
Dans la première affaire, la CNIL a procédé à un contrôle en ligne d'adresses IP à partir desquelles des données médicales étaient accessibles librement.
Un médecin avait pris soin de configurer lui même le logiciel d'imagerie médicale et avait ouvert les ports réseau de sa box pour pouvoir les partager via une fonction serveur (PACS) du logiciel. Or, cet accès n'était pas sécurisé et l'ensemble des données hébergées sur le serveur dédié au logiciel était mis à disposition librement sur internet à partir de simples adresses IP.
Les données concernaient des images médicales (IRM, radios, scanners, etc…) suivies notamment des nom, prénoms, date de naissance et date de consultation des patients. Il s'agit de données sensibles au sens du RGPD.
La violation concernait plus de 1200 jeux de données mis à diposition librement pendant 5 ans.
Une sollicitation des FAI a permis d'identifier le responsable du traitement lié à ces adresses IP.
Lors d'une audition de contrôle dans les locaux de la CNIL, il a été demandé au médecin des explications sur la sécurité des données ainsi que son registre des traitements.
Découvrez comment faire facilement son registre des traitements avec Dastra, demandez nous une démo !
Le médecin a expliqué qu'il n'avait pas lui même configuré la box mais ne pouvait pas le prouver. Cela n'excluait cependant pas sa responsabilité.
Ainsi, il lui a été reproché de ne pas avoir sécurisé les données sur ce point.
De plus, les données stockées sur son ordinateur portable n'étaient pas chiffrées au motif que cela ralentissait l'ordinateur. Or, le chiffrement de données sur des appareils nomades est une recommandation très courante, au sein du guide de la sécurité de la CNIL mais également dans le guide de l'ordre des médecins.
Les données sensibles doivent être chiffrées. Soit l'ensemble du disque dur, soit une partie du disque selon l'offre logicielle.
Enfin, il a été reproché au médecin de ne pas avoir notifié la violation après en avoir pris connaissance. En effet, après l'audition, ce dernier a pris connaissance de la violation et aurait dû au titre de l'article 33 du RGPD la notifier à la CNIL.
Bien que le médecin ait considéré que cette obligation puisse être superfétatoire étant donné que la CNIL était au courant avant lui, il aurait dû notifier. En effet, non seulement, il s'agit d'une obligation légale mais il aurait pu avoir connaissance d'éléments supplémentaires à notifier.
La CNIL rappelle que les notifications lui servent à centraliser et suivre les violations afin de prévenir la compromission de données à caractère personnel.
Prenant en compte la réactivité du médecin et la sensibilité des données, une sanction de 6 000 euros a été prononcée à son encontre pour manquement aux articles 32 et 33 du RGPD.
Pour simplifier vos démarches RGPD et s'assurer la conformité, demandez nous une démo !
2e affaire :
La seconde affaire est très similaire.
Il a été reproché au médecin de ne pas avoir sécurisé son accès internet et d'avoir laissé les images de son logiciel d'imagerie médical en libre accès sur internet.
En effet, il avait lui même configuré son réseau et branché le logiciel professionnel sur la box internet de son domicil personnel.
Les recommandations élémentaires de sécurité imposent de séparer les outils professionnels des outils personnels d'autant plus dans le cadre de données de santé. Outre le fait que les ports étaient ouverts à tous sur internet, les données étaient accessibles à toute personne connectée sur sa box internet.
De plus, il lui était reproché de ne pas avoir chiffré son ordinateur portable contenant les données de santé.
Enfin, il aurait dû après avoir été contrôlé notifié la violation à la CNIL.
Il a été sanctionné à hauteur de 3 000 euros pour non respect des articles 32 et 33 du RGPD.
Conclusions :
▶ Le RGPD ne s'applique pas qu'aux entreprises et ces décisions illustrent bien la qualification du responsable de traitement en tant que personne physique, ici, des médecins libéraux.
▶ La notification des violations de données doit s'effectuer quelque soit la situation, quand bien même, la violation est connue du grand public, des personnes concernées ou de la CNIL.
▶ Les recommandations de base en matière de sécurité doivent être mises en oeuvre à tous les niveaux, que ce soit au niveau d'une grande entreprise ou d'une très petite entreprise. Pour le monde médical, un guide a été publié par le CNOM. Pour les avocats, le CNB a fait de même
▶ Il est essentiel de s'assurer de la qualité des sous-traitants utilisés et du paramétrage d'un outil professionnel.
Découvrez comment piloter ses sous-traitants et respecter le RGPD, demandez nous une démo !
Lien vers les sanctions :