Parce que les données de leurs patients étaient librement accessibles, et parce qu’ils n’ont pas notifié la Cnil de la violation de ces données, deux médecins libéraux ont été condamnés à de légères amendes par la Cnil, qui entend que ces sanctions servent d’avertissement au secteur.
La Cnil ne fait pas que contrôler et sanctionner les manquements des grands groupes et des géants du numérique, Ses dernières sanctions en date s’en veulent la démonstration. Le gendarme des données personnelles vient d’épingler deux médecins libéraux. En septembre 2019, le régulateur constatait en effet lors de contrôles en ligne, suite à des dénonciations, que des serveurs contenant des images médicales accompagnées des nom, prénom et date de naissance des patients.
En cause dans les deux cas, une mauvaise configuration de leur box Internet et un mauvais paramétrage de leur logiciel d’imagerie médicale. Pour l’un des deux médecins, afin de “pouvoir accéder à distance aux images médicales hébergées dans le disque dur de l’ordinateur fixe de son domicile, il a ouvert les ports de la LiveBox utilisée à son domicile en activant le mode DMZ de cette dernière, dans l’objectif de faire fonctionner le VPN”.
Le second a pour sa part paramétré son logiciel d’imagerie médicale pour pouvoir transférer automatiquement des images issues de son équipement de radiographie vers la base de données de son logiciel d’imagerie hébergée dans son cabinet et accéder à distance aux images.
Dans les deux cas, une protection insuffisante et un chiffrement inexistant permettaient au tout venant d’accéder aux images. Ce qui contrevient au RGPD, la Cnil estimant que “la protection du réseau informatique interne et le chiffrement des données à caractère personnel font partie des exigences élémentaires en matière de sécurité informatique, qui incombent à tout responsable de traitement”.
Coup de semonce
Le régulateur sanctionne également le manquement des médecins à notifier les violations de données à la Cnil, ceux-ci n’ayant pas signalé que ces données de santé dont ils étaient responsables du traitement étaient librement accessibles. Lors des auditions, l’un d'eux a par ailleurs invoqué “le caractère artificiel d’une telle obligation dès lors qu’il a eu connaissance du libre accès de la base de données de son logiciel d’imagerie médicale par la délégation de contrôle de la CNIL”. Ce à quoi l’intéressée rétorque que “la circonstance que la violation de données avait été portée à la connaissance de M. [...] par le service des contrôles de la CNIL ne le déchargeait pas de cette obligation”.
Les deux praticiens sont condamnés à respectivement 3000 et 6000 euros d’amende, la Cnil se montrant clémente au regard des éléments des dossiers quand bien même les manquements s’étendaient sur une période de cinq ans et impliquaient quelques milliers d’images médicales. Le régulateur, s’il maintient l’anonymat des médecins, a néanmoins choisi de rendre ses sanctions publiques, “pour alerter les professionnels de la santé sur leurs obligations et la nécessité de renforcer leur vigilance sur les mesures de sécurité apportées aux données personnelles qu’ils traitent”.