Sanctions prononcées par la CNIL à l’encontre de deux médecins libéraux

Le 7 décembre 2020, la formation restreinte de la CNIL, organe chargé de prononcer les sanctions, a prononcé deux amendes de 3 000 € et 6 000 € à l’encontre de deux médecins libéraux pour avoir insuffisamment protégé les données personnelles de leurs patients.

Cette négligence ayant eu pour conséquence directe de rendre accessibles au total plus de 6500 séries d’images de santé comprenant, l’image médicale, les noms, prénoms et dates de naissance de chaque patient, la date de réalisation de l’examen, le nom du praticien référent et du praticien ayant réalisé l’examen et le nom de l’établissement dans lequel celui-ci a eu lieu.

Quelle est l’origine et la forme de ce contrôle ?

L’une des formes de contrôle possible par la CNIL est « le contrôle en ligne ».

Lors d’un contrôle en ligne les agents de la CNIL effectuent des vérifications, depuis les locaux de la CNIL, en consultant notamment des données librement accessibles ou rendues accessibles directement en ligne, y compris par imprudence, négligence ou du fait d’un tiers.

Sur la base d’une enquête d’une société de sécurité informatique relayée via un site web, la CNIL a réalisé un contrôle en ligne en septembre 2019[1]. Elle a ainsi constaté, comme l’indiquait la société de sécurité, que des milliers d’images médicales (IRM, radios, scanners, etc… suivies notamment des noms, prénoms, dates de naissance et dates de consultation des patients) hébergées sur des serveurs appartenant à deux médecins libéraux étaient librement accessibles sur Internet (consultables et téléchargeables).

Suite à ce contrôle en ligne, les deux médecins ont été convoqués pour une audition.

Pour une « audition sur convocation », un courrier est adressé au responsable de traitement ou au sous-traitant afin que des représentants de l’organisme se présentent, à une date donnée, dans les locaux de la Commission. Ces représentants devront répondre à des questions portant sur le(s) traitement(s) qui ont été l’objet des vérifications et, le cas échéant, rendre possible un accès aux ressources informatiques de l’organisme.

Dans ce cas, la délégation de contrôle a sollicité dans le cadre de son audition plusieurs documents, tels que la volumétrie des images contenues dans la base de données du logiciel d’imagerie médicale ainsi que les registres des traitements de données à caractère personnel mis en œuvre dans son cabinet[2].

Lors des auditions de contrôle :

L’un « a indiqué que pour pouvoir accéder à distance aux images médicales hébergées dans le disque dur de l’ordinateur fixe de son domicile, il a ouvert les ports de la LiveBox utilisée à son domicile en activant le mode DMZ de cette dernière, dans l’objectif de faire fonctionner le VPN . »

L’autre « a indiqué avoir, en 2015, paramétré son logiciel d’imagerie […] pour pouvoir transférer automatiquement des images issues de son équipement de radiographie vers la base de données de son logiciel d’imagerie hébergée dans son cabinet et accéder à distance aux images. »

Les investigations menées ont également permis d’établir que les images médicales conservées sur leurs serveurs n’étaient pas systématiquement chiffrées.

Quels sont les motifs de cette décision ?

Sur la base de ces éléments, la formation restreinte a relevé que les deux médecins s’étaient affranchis des principes élémentaires en matière de sécurité informatique.

Elle a retenu un manquement à l’obligation de sécurité des données (article 32 du RGPD[3]).

Comme le prévoit l’article 32, les deux médecins, au vu du contexte, avaient l’obligation de mettre en œuvre le chiffrement des données à caractère personnel et des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement.

 En pratique, ils auraient dû :

  • s’assurer que  la configuration de leurs réseaux informatiques ne conduisait pas à rendre les données librement accessibles sur Internet
  • et procéder au chiffrement systématique des données personnelles hébergées sur leurs serveurs.

La formation restreinte a également retenu un manquement à l’obligation de notifier les violations de données à la CNIL (article 33 du RGPD[4]). En effet, les deux médecins n’ont pas effectué ces notifications obligatoires auxquelles ils auraient dû procéder après avoir appris que les images médicales de leurs patients étaient librement accessibles sur Internet. Alors même qu’un rappel de l’existence et la nature de l’obligation de notification figuraient dans le courrier électronique qui informait les deux praticiens de ladite violation de données.

Quels sont les enseignements pratiques de cette affaire ?

La CNIL recommande de :

  • Prévoir des moyens de chiffrement des postes nomades et supports de stockage mobiles (ordinateur portable, clés USB, disque dur externe, CD-R, DVD-RW, etc.), par exemple via le chiffrement du disque dur dans sa totalité.
  • Lorsque le système d’exploitation le propose, le chiffrement fichier par fichier ou la création de conteneurs (dossier susceptible de contenir plusieurs fichiers) chiffrés.
  • Procéder au chiffrement des données des patients avec un logiciel adapté.
  • Autoriser uniquement les fonctions réseau nécessaires aux traitements mis en place.
  • Limiter le plus possible la connexion d’appareils non professionnels sur le réseau au sein duquel sont traitées les données des patients.
  • Recourir à des moyens d’authentification forte pour accéder à ce réseau.
  • En cas de violation de données à caractère personnel, le responsable du traitement notifie la violation en question à la CNIL, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance.

Documentation utile :

RGPD : le Conseil National de l’Ordre des Médecins et la CNIL publient un guide pratique à l’attention des médecins

Référentiel relatif aux traitements de données à caractère personnel destinés à la gestion des cabinets médicaux et paramédicaux

Guide sécurité des données personnelles de la CNIL

Article rédigé sur la base des documents suivants :

Délibération de la formation restreinte no SAN-2020-014 du 7 décembre 2020 concernant Monsieur […]

Délibération de la formation restreinte no SAN-2020-015 du 7 décembre 2020 concernant Monsieur […]

Notes de bas de pages :

[1] Décision n° 2019-152C du 20 septembre 2019

[2]Pourquoi et comment faire le registre des activités de traitements de mon entreprise ?

[3] Article 32, paragraphe 1, du RGPD, le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.

[4] Article 33, paragraphe 1, du RGPD, en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance.

 

ProDPO

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus

Pour partager cet article sur les réseaux sociaux

Je souhaites réserver un appel !