Le 7 décembre dernier, la Commission nationale de l'informatique et des libertés (Cnil) a annoncé avoir prononcé deux amendes de 3 000 et 6 000 euros à l’encontre de deux médecins radiologues parisiens pour avoir insuffisamment protégé les données personnelles de leurs patients et ne pas lui avoir notifié une violation de données.
Ces sanctions ont fait suite à un contrôle en ligne réalisé en septembre 2019. La Cnil a alors constaté que des milliers d’images médicales hébergées sur les serveurs des deux médecins libéraux étaient librement accessibles sur Internet. L'absence de sécurisation adéquate rendait théoriquement possible la consultation et le téléchargement sur un site web des images médicales (IRM, radios, scanners, etc…) suivies notamment des noms, prénoms, date de naissance et date de consultation des patients.
La Cnil a considéré que les médecins n'avaient pas respecté deux articles du Règlement général sur la protection des données (RGPD) : l’obligation de sécurité des données et celle de notifier les violations de données à la CNIL.
Pas de « chiffrement » des données
Avec cette sanction, les médecins ont ainsi été reconnus responsables d'un mauvais choix de configuration de leur box Internet, du mauvais paramétrage de leur logiciel d’imagerie médicale et d'un défaut de chiffrement systématique des images médicales conservées sur leurs serveurs à l'origine de possibles fuites de données de santé.
L'un des médecins sanctionnés avait indiqué que pour pouvoir accéder à distance aux images médicales hébergées dans le disque dur de l’ordinateur fixe de son domicile, il avait « ouvert les ports de la LiveBox utilisée à son domicile en activant le mode DMZ de cette dernière, dans l’objectif de faire fonctionner le VPN » (lire la décision de la Cnil).
La Cnil a relevé que ce médecin n’avait pas pris soin de crypter les données contenues dans ses trois ordinateurs portables et dans son ordinateur fixe : « En l’absence de chiffrement, les données médicales contenues dans le disque dur de ces ordinateurs étaient lisibles en clair par toute personne prenant possession de ces appareils (par exemple, à la suite de leur perte ou de leur vol) ou par toute personne s’introduisant de manière indue sur le réseau auquel ces appareils étaient raccordés. »
Le second médecin sanctionné, qui avait paramétré son logiciel d’imagerie pour pouvoir transférer automatiquement des images issues de son équipement de radiographie vers la base de données de son logiciel d’imagerie hébergée dans son cabinet et accéder à distance aux images a lui été condamné à 6 000 euros (lire la décision de la Cnil).
Punis pour l'exemple ?
La Cnil rappelle avoir publié un guide de La sécurité des données personnelles dans lequel elle recommande de prévoir des « moyens de chiffrement des postes nomades et supports de stockage mobiles (ordinateur portable, clés USB, disque dur externes, CD-R, DVD-RW, etc.), par exemple via le chiffrement du disque dur dans sa totalité lorsque le système d’exploitation le propose, le chiffrement fichier par fichier ou la création de conteneurs (fichier susceptible de contenir plusieurs fichiers) chiffrés ».
Avec ces deux récentes sanctions, la Cnil rappelle aux médecins leur devoir de garantir un « niveau de sécurité adapté au risque » des données personnelles qu'ils hébergent.
Dans un récent entretien au Généraliste, la présidente de la Cnil avait rappelé cette obligation. « Les acteurs de santé ont conscience de ces enjeux mais la mise en conformité au RGPD est encore timide et doit être plus rapide », soulignait Marie-Laure Denis.
Un cabinet éphémère face au désert médical : dans la Nièvre, la solidarité tourne à plein régime
Les infirmiers formés peuvent désormais rédiger des certificats de décès sur tout le territoire
Taxe lapin de 5 euros, spés et kinés en accès direct, psychologues à 50 euros : les mesures chocs de Gabriel Attal
Accusé de délivrer trop d’arrêts de travail, un généraliste de Dunkerque en grève de la faim