top of page
Rechercher
Photo du rédacteurCC Avec tact
19 déc. 20202 min de lecture

La CNIL sanctionne deux médecins

Dernière mise à jour : 9 oct. 2021

Violations de données de santé : deux médecins sanctionnés...

Le 7 décembre, la CNIL a infligé deux amendes de 3 000 € et 6 000 € à l’encontre de deux médecins libéraux pour avoir insuffisamment protégé les données personnelles de leurs patients et ne pas lui avoir notifié une violation de données (*).


Un contrôle en ligne a permis à la CNIL de constaté que des images médicales hébergées sur les serveurs des médecins libéraux étaient accessibles via Internet.


Les violations de données avaient pour origine un mauvais choix de configuration de la box Internet ainsi qu’un mauvais paramétrage du logiciel d’imagerie médicale. Le contrôle a également permis d’établir que les images médicales conservées sur les serveurs n’étaient pas systématiquement chiffrées.


Sur la base de ces éléments, la CNIL a retenu

  • un manquement à l’obligation de sécurité des données (article 32 du RGPD) : les médecins auraient dû s’assurer que la configuration de leurs réseaux informatiques ne conduisait pas à rendre les données librement accessibles sur Internet et procéder au chiffrement systématique des données personnelles hébergées sur leurs serveurs.

  • un manquement à l’obligation de notifier les violations de données à la CNIL (article 33 du RGPD) après avoir appris que les images médicales de leurs patients étaient librement accessibles sur Internet. Ces notifications sont obligatoires ils auraient dû procéder.

La CNIL n'a pas jugé nécessaire de diffuser l'identité des professionnels de la santé concernés. Par contre elle a souhaité assurer la publicité de ces décisions pour alerter les professionnels de la santé sur leurs obligations et la nécessité de renforcer leur vigilance sur les mesures de sécurité apportées aux données personnelles qu’ils traitent.


Conseils du DPO :

  1. Appliquer des pratiques garantissant un maximum de sécurité informatique et de protection des données personnelles,

  2. Elaborer et paramétrer le système informatique interne avec prudence et vigilance,

  3. S'entourer, si nécessaire, de prestataires compétents pour accompagner la mise en oeuvre des bonnes pratiques (CNIL, 17 déc. 2020).

(*) Délibération SAN-2019-014 du 7 décembre 2020

Délibération SAN-2019-015 du 7 décembre 2020

58 vues0 commentaire

Posts récents

Voir tout

Comments

bottom of page