Le 7 décembre dernier, la Commission nationale de l’informatique et des libertés (Cnil) a prononcé des amendes de 3 000 et 6 000 euros à l’encontre de deux médecins radiologues parisiens pour avoir insuffisamment protégé les données personnelles de leurs patients et ne pas leur avoir notifié une violation de données.
En septembre 2019, lors d’un contrôle, la Cnil avait constaté que l’absence de sécurisation adéquate rendait théoriquement possible la consultation et le téléchargement de milliers d’images médicales (IRM, radios, scanners, etc.) hébergées sur les serveurs des deux médecins libéraux mentionnant notamment les noms, prénoms, dates de naissance et dates de consultation des patients.
La Cnil a considéré que ces praticiens n’avaient pas respecté le règlement général sur la protection des données (RGPD). Ils ont ainsi été reconnus responsables d’un mauvais choix de configuration de leur box internet, du mauvais paramétrage de leur logiciel d’imagerie médicale et d’un défaut de chiffrement systématique des images médicales conservées sur leurs serveurs, à l’origine de possibles fuites de données de santé.
Une mise en conformité encore timide
Les deux radiologues sanctionnés avaient fait en sorte de pouvoir accéder à distance aux images médicales hébergées dans le disque dur de l’ordinateur fixe de son domicile pour l’un, et dans le logiciel d’imagerie hébergée dans son cabinet pour l’autre.
Le premier d’entre eux n’avait pas pris soin de crypter les données contenues dans ses trois ordinateurs portables ni dans son ordinateur fixe : « En l’absence de chiffrement, les données médicales contenues dans le disque dur de ces ordinateurs étaient lisibles en clair par toute personne prenant possession de ces appareils (par exemple, à la suite de leur perte ou de leur vol) ou par toute personne s’introduisant de manière indue sur le réseau auquel ces appareils étaient raccordés. »
Avec ces deux récentes sanctions, la Cnil rappelle aux médecins leur devoir de garantir un « niveau de sécurité adapté au risque » des données personnelles qu’ils hébergent.
Dans un récent entretien au Généraliste (n° 2927), la présidente de la Cnil avait rappelé cette obligation. « Les acteurs de santé ont conscience de ces enjeux mais la mise en conformité au RGPD est encore timide et doit être plus rapide », soulignait Marie-Laure Denis.
Quelques conseils pour bien faire
La Cnil a publié un guide intitulé La sécurité des données personnelles, dans lequel elle propose notamment une check-list pour aider les professionnels à se mettre en conformité avec la loi informatique et libertés et le RGPD.
Ce document porte tout autant sur l’authentification des utilisateurs de données personnelles (identifiant et mot de passe uniques pour chaque utilisateur), le traçage des accès et la gestion des accidents, que sur la sécurisation des postes de travail (anti-virus et pare-feu mis à jour...), des smartphones (avec un code secret pour le dévérouillage), des serveurs et des sites internet. La Cnil recommande d’utiliser des messageries sécurisées de santé pour tout échange avec un autre professionnel de santé ou un patient. De même est-il demandé de ne jamais confier ses identifiant et mot de passe à un tiers et de toujours verrouiller son poste informatique quand on quitte son espace de travail. Le recours à des prestataires compétents en la matière pour paramétrer les serveurs et outils informatiques est préconisé. Dans les deux décisions signifiant leur sanction aux médecins, la commission conseille aussi de prévoir des « moyens de chiffrement des postes nomades et supports de stockage mobiles (ordinateur portable, clés USB, disque dur externe, CD-R, DVD-RW, etc.), par exemple via le chiffrement du disque dur dans sa totalité (...), le chiffrement fichier par fichier ou par conteneurs (plusieurs fichiers) ».
Un cabinet éphémère face au désert médical : dans la Nièvre, la solidarité tourne à plein régime
Les infirmiers formés peuvent désormais rédiger des certificats de décès sur tout le territoire
Taxe lapin de 5 euros, spés et kinés en accès direct, psychologues à 50 euros : les mesures chocs de Gabriel Attal
Accusé de délivrer trop d’arrêts de travail, un généraliste de Dunkerque en grève de la faim