Le 7 décembre dernier, deux médecins libéraux ont été sanctionnés par la CNIL pour avoir manqué l’obligation de suffisamment protéger des données médicales et personnelles de leurs patients. En plus de cela, ces professionnels de la santé n’ont pas pris le temps de notifier la violation de données à la CNIL.
Un système informatique défaillant
En septembre 2019, la CNIL a constaté que des milliers d’images médicales qui appartiennent à deux médecins libéraux ont été libres d’accès sur internet. Parmi ces images, il était même possible de trouver les données personnelles concernant le patient, notamment ses coordonnées exactes, les coordonnées du praticien référent et du praticien traitant, la date de réalisation de l’examen ainsi que l’établissement où il a été effectué.
Lors des auditions de contrôle effectuées auprès des deux médecins, ils ont reconnu que ces données ont été exactement hébergées dans leurs serveurs. À cause d’un mauvais paramétrage de leur box internet ainsi que de leur logiciel d’imagerie médicale, les données ont été violées. En effet, l’un de ces médecins a préféré configurer lui-même son logiciel d’imagerie et son réseau interne au lieu de recourir à un professionnel en sécurité informatique. Tandis que l’autre médecin a affirmé qu’il a fait appel à un professionnel, pourtant il ne détenait pas de preuves exactes.
Données médicales non chiffrées : une faute passible de sanctions
La CNIL a aussi constaté que les images médicales dans les serveurs de ces deux médecins n’étaient pas systématiquement chiffrées. En principe, ces professionnels de santé ont jugé que le chiffrement des données pouvait considérablement ralentir l’exécution des applications, c’est-à-dire la consultation du dossier médical et la visualisation des images. Par contre, la CNIL rappelle qu’en absence de chiffrement, les données médicales dans le disque dur de l’ordinateur peuvent être lisibles en clair par toutes les personnes ayant accès à l’ordinateur, mais surtout les pirates informatiques qui s’introduisent sur le réseau. Ainsi, elle recommande de prévoir des moyens de chiffrement, surtout sur les postes nomades et les supports de stockage mobiles comme les ordinateurs portables, les clés USB, le disque dur externe ou encore les CD-ROM. Il est, par exemple, envisageable de chiffrer en totalité le disque dur, chiffrer fichier par fichier ou créer des conteneurs chiffrés. Un guide pratique invite même les médecins à procéder au chiffrement des données de leurs patients.
Deux amendes de 3 000 € et 6 000 €
En plus d’un manquement d’obligation à la sécurité informatique, ces médecins n’ont pas notifié les violations de données à la CNIL. Pourtant, il s’agit d’un processus obligatoire. Sur la base de ces éléments, la CNIL a prononcé des amendes de 3 000 € et 6 000 € à l’encontre des deux médecins. Cette décision de la CNIL vise à alerter les professionnels de la santé de leur obligation à bien sécuriser les données médicales de leurs patients. Elle les prévient également de la nécessité à renforcer la vigilance sur les mesures de sécurité apportées aux données personnelles traitées.