Par deux délibérations en date du 7 décembre 2020 [1], la CNIL a sanctionné deux médecins pour violation des données des patients, et absence de notification à la CNIL.
En effet, à l’origine de ces deux affaires se trouve une défaillance technique permettant un accès libre à des serveurs informatiques utilisés par les médecins, hébergeant des milliers d’images médicales (IRM, radios, scanners, etc…) suivies notamment des nom, prénoms, date de naissance et date de consultation des patients. Cette défaillance a été révélée par un site internet de presse. La CNIL a donc décidé de procéder à un contrôle en ligne, qui a confirmé le caractère librement accessible de ces données, exploitables par l’intermédiaire d’un simple logiciel de consultation d’images médicales.
Dans sa délibération, elle constate que la violation de données a pour cause l’ouverture des ports réseaux de la box Internet des médecins en cause, utilisée au domicile de ces derniers, couplée au paramétrage de la fonction serveur du logiciel d’imagerie. En outre, les données n’étaient pas chiffrées les rendant lisibles en clair par toute personne prenant possession de l’appareil ou s’introduisant de manière indue sur le réseau auquel ces appareils étaient raccordés. Pour rappel, les données de santé dont la confidentialité a ainsi été compromise font partie des catégories particulières de données, au sens de l’article 9 du RGPD (données sensibles). La CNIL rappelle que ces données doivent faire l’objet d’une vigilance particulière.
La formation restreinte a également souligné l’importance du volume de données ainsi exposées sur une période étendue. En effet, plus de 5 300 séries d’images médicales sont concernées pour le premier cas, et ont été exposées environ 4 mois. Tandis que plus de 1 200 séries d’images médicales sont concernées dans le second cas, et ont été exposées environ 5 ans.
A ce titre la CNIL a rappelé les principes énoncés dans son Guide de sécurité des données, qu’elle a publié sur son site. De même, le Guide pratique pour les médecins, publié par la CNIL en concertation avec le Conseil national de l’ordre des médecins, invite les médecins à limiter le plus possible la connexion d’appareils non professionnels sur le réseau au sein duquel sont traitées les données des patients, ainsi qu’à recourir à des moyens d’authentification forte, soit une authentification à deux facteurs en plus de l’identification.
Il résulte des constatations de la formation restreinte, que les deux médecins ont manqué à l’obligation posée par l’article 32 du RGPD d’assurer la sécurité des données.
En outre, il était reproché aux deux médecins de ne pas avoir notifié la CNIL de cette violation de données, conformément à l’article 33 du RGPD. En effet, toute violation de données doit fait l’objet d’une notification à la CNIL sauf lorsque la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, ce qui en l’espèce n’était pas le cas.
Pour ces deux manquements, les deux médecins encouraient une sanction maximale de 10 millions d’euros en application de l’article 20.III de la loi Informatique et Libertés. La formation restreinte de la CNIL a prononcé une amende de 3 000€ et de 6 000€ eu égard à leurs revenus. Les deux délibérations préalablement anonymisées ont également été rendues publiques.
[1] Délibération de la formation restreinte n°SAN-2020-014 du 7 décembre 2020
Délibération de la formation restreinte n°SAN-2020-015 du 7 décembre 2020