Réf. : CNIL, délibérations n° SAN-2019-014 (N° Lexbase : X4458CM3) et n° SAN-2019-015 (N° Lexbase : X4459CM4), 7 décembre 2020
Lecture: 3 min
N5823BYC
Citer l'article
Créer un lien vers ce contenu
par Marie-Lou Hardouin-Ayrinhac
le 06 Janvier 2021
►Par ses deux délibérations en date du 7 décembre 2020, la formation restreinte de la CNIL inflige deux amendes de 3 000 euros et 6 000 euros à l’encontre de deux médecins libéraux pour avoir insuffisamment protégé les données personnelles de leurs patients et ne pas avoir notifié une violation de données à la CNIL conformément au « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I).
Faits et procédure. À la suite d’un contrôle en ligne réalisé en septembre 2019, la CNIL a constaté que des milliers d’images médicales hébergées sur des serveurs appartenant à deux médecins libéraux étaient librement accessibles sur internet.
Lors des auditions de contrôle, les médecins ont reconnu que les violations de données avaient pour origine un mauvais choix de configuration de leur box internet ainsi qu’un mauvais paramétrage de leur logiciel d’imagerie médicale. Les investigations menées ont également permis d’établir que les images médicales conservées sur leurs serveurs n’étaient pas systématiquement chiffrées.
Manquement à l’obligation de sécurité des données (« RGPD », art. 32). Sur la base de ces éléments, la formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a relevé que les deux médecins s’étaient affranchis des principes élémentaires en matière de sécurité informatique.
Elle a retenu un manquement à l’obligation de sécurité des données, considérant qu’ils auraient notamment dû s’assurer que la configuration de leurs réseaux informatiques ne conduisait pas à rendre les données librement accessibles sur internet et procéder au chiffrement systématique des données personnelles hébergées sur leurs serveurs.
Manquement à l’obligation de notifier les violations de données à la CNIL (« RGPD », art. 33). La formation restreinte a également retenu un manquement à l’obligation de notifier les violations de données à la CNIL.
En effet, les deux médecins n’ont pas effectué ces notifications obligatoires auxquelles ils auraient dû procéder après avoir appris que les images médicales de leurs patients étaient librement accessibles sur internet.
Objectif de la publicité des décisions. Si la formation restreinte n’a pas considéré nécessaire que l’identité des médecins concernés soit rendue publique, elle a néanmoins souhaité assurer la publicité de ces décisions pour alerter les professionnels de la santé sur leurs obligations et la nécessité de renforcer leur vigilance sur les mesures de sécurité apportées aux données personnelles qu’ils traitent.
Cette vigilance doit les conduire à choisir les solutions applicatives présentant le maximum de garanties en termes de sécurité informatique et de protection des données personnelles. Elle doit également les inciter à la prudence au moment de l’élaboration et du paramétrage de leur système informatique interne, en s’entourant si nécessaire de prestataires compétents en la matière.
Décision. La formation restreinte de la CNIL a prononcé deux amendes de 3 000 euros et 6 000 euros à l’encontre des deux médecins libéraux.
© Reproduction interdite, sauf autorisation écrite préalable
newsid:475823
Parcours utilisateur
Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.
Données analytiques
Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.