Depuis plusieurs années, la CNIL a accentué le nombre de ses contrôles en ligne en matière de protection des données. Après plusieurs actions de prévention, la CNIL a prononcé des sanctions lourdes pour certaines grands groupes tels qu’Amazon ou Google. Si ces sanctions ont été largement médiatisées, il n’en demeure pas moins qu’elles s’étendent à tous les secteurs et notamment au secteur médical.

 

Des médecins condamnés pour des milliers d’images médicales accessibles librement

En effet, deux médecins libéraux ont été condamnés par deux délibérations en date du 7 décembre 2020 (à consulter ici et ici) à des amendes de 3.000€ et 6.000€ par la formation restreinte de la CNIL pour ne pas avoir respecté les dispositions des articles 32 et 33 du RGPD (règlement pour la protection des données personnelles applicable en France depuis le 25 mai 2018). Ils n’ont pas protégé des données personnelles de patients, mais ils ont également omis de signaler à la CNIL une violation de données.

L’affaire a commencé lors de contrôles réalisés en 2019, pendant lesquels la CNIL a trouvé des milliers d’images médicales de patients hébergées sur des serveurs, librement accessibles depuis le net. Il est apparu que des internautes pouvaient avoir l’accès libre à des serveurs informatiques d’imagerie médicales permettant la consultation et le téléchargement d’images médicales (IRM, radios, scanners,…) suivies notamment des nom, prénom, date de naissance et date de consultation des patients.

 

Des médecin radiologues sanctionnés par la CNIL

 

Le manquement à l’obligation de notification à la CNIL également condamné

La formation restreinte de la CNIL a considéré que le responsable de traitement doit respecter l’exigence de notification prévue à l’article 33 du Règlement, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. La circonstance que la violation de données ait été portée à la connaissance des médecins par le service de contrôle de la CNIL ne le déchargeait pas de cette obligation.

En effet, consécutivement au contrôle, le responsable de traitement peut avoir connaissance d’éléments complémentaires relatifs à la violation de données qui méritent d’être communiquées aux services compétents de la CNIL, lesquels ont notamment pour mission de centraliser les différentes violations de données et d’en assurer le suivi afin de prévenir la compromission de données à caractère personnel. Un téléservice est disponible sur le site de la CNIL pour effectuer ces notifications.

 

Une incitation à mettre en place des process techniques et juridiques permettant de respecter les obligations du RGPD

La CNIL a souhaité assurer la publicité de ces décisions pour alerter les professionnels de la santé sur leurs obligations et la nécessité de renforcer leur vigilance sur les mesures de sécurité apportées aux données personnelles qu’ils traitent.

Au cours de leurs auditions, les médecins avaient reconnu que la situation décrite avait pour origine un mauvais choix de configuration de leur box internet (ouverture des ports réseaux de la box au domicile de l’un deux, couplée au paramétrage de la fonction serveur du logiciel d’imagerie) ainsi qu’un mauvais paramétrage de leur logiciel d’imagerie médicale. L’enquête a démontré que les images médicales stockées sur leurs serveurs n’étaient pas systématiquement chiffrées.

 

Les décisions rappellent que le Guide pratique pour les médecins, publié par la CNIL en concertation avec le Conseil national de l’ordre des médecins, invite les médecins à limiter le plus possible la connexion d’appareils non professionnels sur le réseau au sein duquel sont traitées les données des patients, ainsi qu’à recourir à des moyens d’authentification forte pour accéder à ce réseau.

L’obligation de vigilance doit les conduire à choisir les solutions applicatives présentant le maximum de garanties en termes de sécurité informatique et de protection des données personnelles. Elle doit également les inciter à la prudence au moment de l’élaboration et du paramétrage de leur système informatique interne, en s’entourant si nécessaire de prestataires compétents en la matière.

Des médecin radiologues sanctionnés par la CNIL

Ainsi, la CNIL recommande de prévoir des moyens de chiffrement des postes nomades et des supports de stockage mobiles (ordinateur portable, clés USB, disque dur externe, CD-R, DVD-RW etc) par exemple via le chiffrement du disque dur dans sa totalité lorsque le système d’exploitation le propose, le chiffrement fichier par fichier ou la création de conteneurs (fichier susceptible de contenir plusieurs fichiers) chiffrés. De même, le Guide pratique pour les médecins invite ces derniers à procéder au chiffrement des données de leurs patients avec  un logiciel adapté.

Il est bon de rappeler que les données de santé sont des données particulièrement sensibles et que, lorsqu’un traitement de données de santé est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, le responsable de traitement doit effectuer, avant sa mise en œuvre, une analyse d’impact.