Blockproof
retour à la liste
4 min de lecture

RGPD Santé : les sanctions de la CNIL

RGPD Santé : les sanctions de la CNIL

Le RGPD dans le secteur de la santé et du médico-social sont certes un cadre difficilement applicable, mais l'inaction des professionnelle aura comme conséquence le prononcé des sanctions RGPD pour manquement.

À l’issue d’un contrôle, la CNIL peut constater la non conformité d’un professionnels de santé ou d'un organisme aux règles de protection des données personnelles et clôturer la procédure. Dans le cas contraire, elle peut engager une action corrective, pouvant aboutir à :

  • un rappel à l’ordre,
  • une mise en demeure avec un délai défini pour se mettre en conformité,
  • une injonction de mise en conformité,
  • une limitation ou une interdiction du traitement des données,
  • une amende administrative pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.

En 2024, la CNIL a sanctionné pour un montant cumulé de plus de 55M euros d’amendes.

RGPD santé en bref

Le secteur de la santé est particulièrement exposé aux exigences du RGPD, en raison de la sensibilité des données qu’il traite (tant sur la santé, que la vulnérabilité des personnes).

Il est cohérent que les données de santé soient plus protégées que les prénoms/adresses mails.

La CNIL exerce un contrôle strict sur la sécurisation des informations médicales et le respect des droits des patients. En cas de manquement, les sanctions peuvent être lourdes, allant de simples injonctions à des amendes conséquentes.

Ces dernières années, plusieurs acteurs du secteur ont été sanctionnés, notamment des médecins, des cliniques et des éditeurs de logiciels médicaux, illustrant la nécessité pour tous les professionnels de santé de renforcer leur conformité au RGPD.

RGPD santé : les sanctions incontournables de 2024

Sanctions à l’encontre des professionnels de santé

Parmi les professionnels sanctionnés, le site Village Justice a relevé :

  • 3 chirurgiens-dentistes : deux condamnés pour manquements à la sécurité des données et au droit d’accès (5 000 € et 4 000 € d’amende) ; le troisième pour non-respect du droit d’accès au dossier médical et défaut de coopération avec la CNIL (3 000 € d’amende avec injonction).
  • 3 médecins généralistes : deux sanctionnés pour non-respect du droit d’accès et absence de coopération (3 000 € et 4 000 € d’amende) ; le troisième pour non-respect d’une injonction de mise en conformité (2 000 € d’amende).
  • 1 stomatologue : 5 000 € d’amende pour non-respect du droit d’accès au dossier médical et absence de coopération.
  • 1 orthophoniste : 4 000 € d’amende pour non-respect d’une injonction de mise en conformité.

Sanctions à l’encontre des établissements et entreprises du secteur de la santé

  • Une clinique : 15 000 € d’amende pour défaut de coopération avec la CNIL.
  • Un groupement régional d’appui à la e-santé : 20 000 € d’amende pour des manquements dans le traitement des données de santé et une absence d’encadrement contractuel avec ses sous-traitants.
  • Cegedim Santé (éditeur de logiciels de gestion pour médecins) : 800 000 € d’amende (Délibération n°SAN-2024-013 du 5 septembre 2024). Les infractions concernent l’absence d’autorisation préalable de la CNIL pour la création d’un entrepôt de données de santé et un traitement illicite des données. L’entreprise a regretté cette décision dans un communiqué de presse.
  • Un organisme de formation pour professionnels de santé : 15 000 € d’amende et une injonction pour non-respect de l’obligation d’information, du droit à l’effacement, du cadre contractuel avec ses sous-traitants, ainsi que pour des insuffisances en matière de sécurité des données.
  • Une société de transport ambulancier : 10 000 € d’amende pour défaut de coopération avec la CNIL.

RGPD Santé : des sanctions CNIL déjà présentes

En plus des sanctions déjà mentionnées, plusieurs autres cas notables de non-conformité au RGPD dans le secteur de la santé ont été relevés.

Médecins généralistes sanctionnés pour violation de données de santé :

En décembre 2020, la CNIL a infligé des amendes de 3 000 € et 6 000 € à deux médecins libéraux. Ces sanctions faisaient suite à une mauvaise configuration de leur box Internet et de leur logiciel d'imagerie médicale, rendant des milliers d'images médicales librement accessibles en ligne. De plus, les médecins n'avaient pas notifié cette violation à la CNIL, comme l'exige le RGPD.

Société Dedalus Biologie condamnée pour fuite de données :

Cette entreprise a été sanctionnée d'une amende de 1,5 million d'euros après une fuite massive de données de santé. Cette affaire souligne l'importance cruciale de la sécurité des données dans le secteur médical.

Société Cegedim Santé sanctionnée pour traitement illicite de données :

Le 5 septembre 2024, la CNIL a infligé une amende de 800 000 € à cette société éditrice de logiciels pour professionnels de santé. Les infractions concernaient la collecte massive de données de patients sans autorisation préalable de la CNIL, constituant ainsi un entrepôt de données de santé non conforme aux exigences légales.

article author
L'équipe Blockproof
Politique de Protection des données |
CookieFirst logo

Nous utilisons des cookies

Ils nous permettent de faire fonctionner notre site Web, d'améliorer notre contenu et de vous permettre de partager nos articles. Souhaitez-vous continuer à les utiliser ?

En outre, vous pourrez accéder à ce "gestionnaire de cookies" à tout moment en cliquant sur l'icône dédiée en bas à gauche de l'écran.