Médecin libéraux sanction CNIL pour violation de données
Partager l'article



MÉDECINS LIBÉRAUX : SANCTIONS DE LA CNIL POUR DES VIOLATIONS DE DONNÉES

 

Article rédigé le 5 janvier 2021 par Me Laurence Huin

 

Après avoir sanctionné récemment deux GAFA, Google et Amazon, sans compter sa coopération avec l’autorité de contrôle britannique (ICO) dans les sanctions infligées à British Airways et au groupe hôtelier Marriott, chacune se chiffrant à plusieurs millions d’euros, la CNIL a récemment condamné deux médecins libéraux pour manquement à l’obligation de sécurité des données traitées et à son corolaire l’obligation de lui notifier une violation de données.

Bien moins spectaculaires par le montant des amendes administratives infligées aux deux médecins libéraux (6.000 euros d’une part et 3.000 euros d’autre part), ces deux sanctions sont néanmoins un premier avertissement pour les médecins et professionnels médicaux ou paramédicaux exerçant à titre libéral. Décryptons donc ces deux décisions.

 

Un manquement d’une gravité certaine aux principes élémentaires de sécurité des données

 

Dans les deux cas d’espèce, étaient librement accessibles sur internet des milliers d’images médicales ainsi que les nom, prénoms et date de naissance des patients, date de réalisation de l’examen, nom du praticien référent et du praticien ayant réalisé l’examen et nom de l’établissement dans lequel l’examen a eu lieu. Les deux cas d’espèce diffèrent cependant en terme de volume de données concernées et de durée de la violation :

    • dans le premier cas, la violation concernait plus de 1.200 séries d’images médicales et a duré presque 5 ans ;
    • dans le second cas, la violation concernait plus de 5.300 séries d’images médicales et a duré environ 4 mois.

 

 

De même, il ressort des constatations que la violation de données résultait, dans les deux cas, de la mauvaise configuration de la box internet des médecins libéraux ainsi que d’un mauvais paramétrage du logiciel d’imagerie médicale. Les fonctions réseaux n’avaient donc pas été limitées à celles qui étaient strictement nécessaires au fonctionnement du traitement. De même, le chiffrement des données contenues sur les ordinateurs portables et fixes n’avaient pas été mis en place par les deux médecins libéraux, et ce, en méconnaissance des recommandations édictées par la CNIL dans son guide sur la Sécurité des données personnelles et dans son guide pratique pour les médecins, publié en concertation avec le Conseil national de l’ordre des médecins.

 

Il est par ailleurs intéressant de noter que, dans les deux cas, les deux médecins libéraux n’avaient pas fait appel à des prestataires externes pour paramétrer leurs solutions, n’ayant pas ainsi pris, selon la CNIL, le maximum de garanties en termes de sécurité informatique et de protection des données personnelles. A ce titre, la CNIL invite les médecins libéraux, dans son communiqué de presse, à s’entourer si nécessaire de prestataires compétents en matière informatique.

 

Dès lors, deux principes élémentaires en matière de sécurité informatique, à savoir la protection du réseau informatique interne par la limitation des flux réseau au strict nécessaire et le chiffrement des données personnelles, n’ont pas été respectés par les médecins libéraux.

 

Or, en qualité de responsable de traitement, le médecin libéral se doit de veiller à la sécurité des données traitées en mettant en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque (article 32 du RGPD).

 

La formation restreinte de la CNIL, chargée du prononcé des sanctions, a donc retenu la gravité du manquement des deux médecins libéraux à leur obligation de sécurité.

 

Un manquement formel à l’obligation de notification d’une violation de données à la CNIL

 

Dans les deux cas d’espèce, la violation de données a été constatée par la CNIL lors d’un contrôle en ligne réalisé après qu’elle ait eu connaissance de ces violations de données par le biais d’un article de presse.

 

Les médecins libéraux ont donc eu connaissance de la violation de données directement par la délégation de contrôle de la CNIL. Dans ce contexte, les deux médecins n’ont pas estimé utile de notifier à la CNIL la violation de données, par le bais du téléservice disponible sur le site de la CNIL.

 

Suivant un formalisme d’une rigueur absolue, la CNIL a considéré que le responsable de traitement doit, « en toute circonstance », lui notifier une telle violation, sauf à démontrer que la violation n’était pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

 

La CNIL a donc retenu à l’encontre des deux médecins libéraux un manquement à l’obligation de notifier les violations de données à la CNIL (article 33 du RGPD).

 

Les critères retenus pour fixer le prononcé et le montant des amendes administratives

 

Bien que les deux médecins libéraux ont réagi très rapidement pour mettre un terme à la violation et se sont entourés de spécialistes compétents pour mettre en œuvre de nombreuses mesures de sécurité avant la séance devant la formation restreinte de la CNIL, cette étroite coopération n’a pu éviter le prononcé de la sanction administrative.

 

Pour fixer le montant des amendes administratives dont le maximum encouru est fixé à 10 millions d’euros, la CNIL s’est appuyée sur les revenus des deux médecins libéraux, équivalents dans les deux cas :

 

    • dans le premier cas, les revenus du médecin s’élevait à 8.000 euros par mois et l’amende a été fixée à 6.000 euros ;
    • dans le second cas, les revenus du médecin s’élevait à 97.000 euros par an et l’amende a été fixée à 3.000 euros.

 

 

D’après notre analyse, la différence du montant des amendes prononcées s’expliquerait par la durée de la violation des données portait à presque 5 ans dans le premier cas et à environ 4 mois dans le second cas.

 

Si la CNIL a bien accordé le huis clos demandé lors de la séance devant la formation restreinte et n’a pas révélé l’identité des médecins concernés, elle a néanmoins souhaité assurer la publicité de ses deux décisions afin d’ « alerter les professionnels de la santé sur leurs obligations et la nécessité de renforcer leur vigilance sur les mesures de sécurité apportées aux données personnelles qu’ils traitent ». C’est dans cet état d’esprit que la CNIL vise en référence, dans le corps des deux décisions, son guide sur la Sécurité des données personnelles et son guide pratique pour les médecins, publié en concertation avec le Conseil national de l’ordre des médecins.

 

On comprend donc la portée pédagogique de ces deux décisions qui visent à rappeler à tous les professionnels médicaux et paramédicaux exerçant à titre libéral leurs obligations en matière de données à caractère personnel. Désormais les voilà avertis !