Une société avait obtenu, début 2010, l’agrément du ministère de la santé après avoir déclaré dans son dossier de candidature qu’elle chiffrait l’ensemble des données médicales hébergées, par un procédé dit de “chiffrage fort”.
La CNIL a constaté, lors d’un contrôle sur place en 2011, “que les données médicales n’étaient pas chiffrées et qu’elles étaient accessibles aux administrateurs informatiques de la société et non pas exclusivement au personnel de santé habilité. La société avait uniquement protégé certaines des données de santé par un codage créé en interne“.
La formation contentieuse de la Commission a considéré que le traitement de données personnelles était contraire à l’article 6-1° de loi “Informatique et Libertés” qui prévoit que les données doivent être traitées de manière licite. Elle a estimé que la société n’avait pas respecté le code de la santé publique qui “impose d’une part, au candidat à l’agrément de mettre en œuvre une politique de sécurité assurant la confidentialité des données et leur protection contre les accès non autorisés et d’autre part, de prévenir le Ministre de la santé de tout changement affectant les informations fournies lors de la candidature“.
La CNIL a donc prononcé un avertissement à l’encontre de l’hébergeur.
Ca fait froid dans le dos…
Plus sérieusement, on rappellera que les personnes concernées peuvent encourir des sanctions pénales (petit rappel sur le site de la CNIL : http://www.cnil.fr/en-savoir-plus/textes-fondateurs/sanctions-penales/