Il est reproché à l’éditeur d’avoir traité des données de santé non anonymes sans autorisation, dans le but de produire des études et des statistiques.
Des données de santé utilisées sans le consentement des patients. L’éditeur de logiciels Cegedim Santé a été condamné, jeudi, à payer une amende de 800 000 euros. Le gendarme français des données personnelles reproche à la société d’avoir « traité sans autorisation des données de santé non anonymes, transmises à ses clients en vue de produire des études et des statistiques dans le domaine de la santé ».
Concrètement, Cegedim aurait transmis massivement des données sous pseudonyme, non anonymisées, permettant d’identifier un patient pour quiconque connaîtrait son parcours médical. La CNIL a identifié deux manquements. Le premier, concernant la loi Informatique et Libertés, est relatif à l'obligation d’obtenir l’autorisation préalable d’une personne avant de traiter ses données. Le second concerne un manquement au RGPD, relatif à l’obligation de traiter les données de manière licite. La formation restreinte a estimé que la société avait violé l'article 5.1.a dudit règlement en collectant automatiquement des données de santé via le téléservice HRi, sans prévoir que les données puissent être consultées par les médecins sans entraîner une collecte automatique.
De son côté, Cegedim Santé se réserve le droit de contester la décision de l’instance devant le Conseil d’État.