Sanctions RGPD : des médecins généralistes sanctionnés par la CNIL
La menace de sanctions RGPD concernent tous les secteurs et typologies d'entité juridique, même les professions libérales. Le 17 décembre 2020, nous avons appris que deux médecins libéraux ont été sanctionnés de 3000€ et de 6000€ de pénalités pour des violations du RGPD. En fait, les imageries médicales stockées sur leurs logiciels ont été facilement accessibles par Internet pour tous ceux qui ont essayé de les télécharger.
Des médecins dans le viseur de la CNIL : contexte de la sanction
Les imageries médicales sont des données à caractère personnel, car elles permettent d'identifier la personne à laquelle elles appartiennent et, de plus, ce sont des données de santé. Vous savez peut-être que les données de santé sont des données sensibles appartenant à des catégories particulières de données à caractère personnel. Ces données sont rigoureusement protégées par les règles du RGPD. Si l'on doit traiter des données relatives à la santé, il faut soit y être autorisé par la loi, soit avoir reçu le consentement explicite et valable de la personne concernée. Si vous remplissez cette condition, vous pouvez traiter des données relatives à la santé mais sous réserve que soient appliquées des mesures de sécurité strictes qui empêchent tout tiers de les consulter.
En laissant, intentionnellement ou non, la possibilité d'accéder à l'imagerie médicale d'une personne via Internet, les médecins ont violé leur obligation de sécuriser les données relatives à la santé. Les paramètres de sécurité de leur box Internet et de leurs logiciels n'étaient pas suffisamment efficaces. Et la situation est aggravée par le fait que les médecins n'avaient pas notifié cette violation à la CNIL comme l'exige le RGPD.
En résumé, libéral ou autre, grand groupe ou non, les règles du RGPD s'appliquent à tous les secteurs. Le risque est d'autant plus élevé dans le secteur sanitaire, social et médico-social du fait de la nature sensible des données traitées par les établissements et soignants.
Quelles sont les enseignements à retirer suite à la sanctions CNIL des médecins généralistes ?
Faire appel à des spécialistes informatiques pour régler correctement les paramètres de sécurité (1/3)
Il se peut que les médecins aient essayé de tout faire eux-mêmes, y compris de mettre en place la connexion Internet Box. Malheureusement, nous ne parlons pas ici d'avoir une connexion internet pour regarder Netflix. Dans votre périmètre de travail, avec vos collègues, vous vous occupez des données hautement personnelles et des catégories particulières de données, notamment des données de santé. Par conséquent, il est essentiel que la connexion à Internet soit extrêmement sécurisée. Pour cela, il est indispensable de faire appel à un expert en réseaux informatiques et de garantir que votre connexion internet présente le moins de risques possible.
Vérifier que les logiciels utilisés sécurisent les données saisies (2/3)
Les médecins avaient mal réglé les paramètres de sécurité du logiciel. De plus, même si ces paramètres étaient faibles, si le logiciel qu'ils utilisaient leur avait permis de chiffrer les informations relatives à la santé (y compris les documents et les imageries), cela aurait empêché les tiers de les lire. En conséquence, lorsque vous choisissez un logiciel professionnel, prenez soin de vous assurer que les données que vous y introduisez sont bien protégées par de solides mécanismes de sécurité. N'hésitez pas à vérifier si les fonctionnalités de sécurité en place sont suffisamment résistantes. Pour cette vérification, il est recommandé de faire appel à un délégué à la protection des données.
Il est préférable de chiffrer les données de santé sur votre logiciel, de sorte que les informations ne soient pas lisibles aux tiers.
Suggestion : Renseignez-vous sur les mesures de sécurité mises en place par votre prestataire de services pour le dossier de l'usager.
Documenter toutes les violations des données personnelles et les notifier à la CNIL (3/3)
Rien n'est infaillible. Il n'y a pas de risque zéro. Ainsi, si vos données deviennent indisponibles pour un certain motif, ou si elles sont modifiées sans qu'on le veuille, en perdant leur intégrité ou si un tiers non autorisé est amené à les consulter au détriment de leur confidentialité, ne laissez pas passer ces situations.
Il faut commencer par documenter chaque incident de sécurité dès que vous en prenez connaissance.
Ensuite, il est important de vérifier si vous êtes confronté à une véritable violation des règles de protection des données.
Si cette vérification est affirmative, signalez la violation des données à caractère personnel à la CNIL. Il est indispensable d'effectuer toutes ces actions suffisamment rapidement pour pouvoir notifier la CNIL dans les 72 heures suivant la découverte de la violation. Pour aller plus loin, consultez notre article sur la procédure à suivre en cas de violation de données.
Votre délégué à la protection des données est la personne la mieux placée pour vous aider dans un tel cas.