FR EN
< S’inspirer n’est pas parasiter
27.09.2024 11:24 Il y a: 94 days
Categorie: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Informatique, libertés et vie privée , Les essentiels, Veille Juridique

La CNIL sanctionne CEGEDIM SANTÉ pour traitement illicite de données de santé

Traitement illégal de données de santé : la CNIL sanctionne CEGEDIM SANTÉ d'une amende de 800 000 €, rappelant l'importance de la conformité au RGPD


Le 5 septembre 2024, la Commission Nationale de l'Informatique et des Libertés (CNIL) a infligé une amende de 800 000 euros à la société CEGEDIM SANTÉ, éditeur de logiciels de gestion pour les professionnels de santé. Cette sanction fait suite à des contrôles menés en 2021 qui ont révélé plusieurs manquements graves dans le traitement des données de santé.

 

CEGEDIM SANTÉ, dont les logiciels sont utilisés par environ 25 000 cabinets médicaux et 500 centres de santé, proposait aux médecins utilisateurs d'adhérer à un « observatoire ». Par ce biais, la société collectait des données personnelles de patients (telles que l'année de naissance, le sexe, ou les antécédents médicaux), qui étaient ensuite transmises à ses clients pour produire des études et statistiques. La plupart de ces données, dites « sensibles » au sens du RGPD, bénéficient d’une protection renforcée (article 9 du RGPD) et doivent être traitées en prenant toutes les mesures nécessaires.

 

En effet, les données sensibles forment une catégorie particulière des données personnelles, et regroupent notamment les données concernant la santé des personnes.

 

Pourtant, la CNIL a sanctionné la société CEGEDIM pour plusieurs manquements, sur lesquels il est intéressant de revenir.

 

Manquement à l’obligation d’effectuer les formalités préalables dans le domaine de la santé

 

L'obligation d'autorisation préalable est une exigence spécifique qui s'applique aux traitements de données de santé en France, en vertu de l'article 66 de la loi Informatique et Libertés. Cette obligation vise à assurer un contrôle renforcé sur l'utilisation de ces données particulièrement sensibles.

 

Néanmoins, la société qui aurait dû disposer d’une autorisation en vertu de cet article 66, n’a pas sollicité la CNIL dans ce cadre. A ce titre, la CNIL reproche donc à CEGEDIM d’avoir traité des données à caractère personnel sans autorisation préalable.

 

Manquement au respect du processus d’anonymisation

 

Les données collectées par Cegedim Santé étaient associées à un identifiant unique pour chaque patient d'un même praticien, permettant ainsi la mise en relation des informations transmises de manière séquentielle par un médecin concernant un patient spécifique. Cette pratique permettait alors de reconstituer le parcours de soins complet d'un individu.

 

Cela était notamment possible car les données collectées n’étaient pas anonymes, mais uniquement pseudonymisées

 

En effet, selon la CNIL, la pseudonymisation est un traitement de données personnelles réalisé de manière à ce qu'on ne puisse plus attribuer les données relatives à une personne physique sans information supplémentaire. Autrement dit, cette technique permet de remplacer les données directement identifiantes telles que le nom ou le prénom, par des données indirectement identifiantes, comme un numéro séquentiel.

 

En pratique, il est donc possible de pouvoir retrouver l’identité des personnes concernées en regroupant les informations avec des données tierces.

 

A contrario, l’anonymisation vise à exclure toute possibilité la ré-identification, et a donc un caractère irréversible. Cette solution permet d’exploiter certaines données personnelles sans porter atteinte à la vie privée des personnes. De plus, cela permet de conserver les données au-delà de leur durée de conservation initialement prévue.

 

Pour qu'un processus d’anonymisation soit effectif, l’avis du Comité européen de la protection sur les techniques d’anonymisation indique qu’un processus est correctement anonymisé s’il répond à trois critères : l’individualisation (impossibilité d'isoler un individu), la corrélation (impossibilité de relier des ensembles de données concernant un même individu) et l’inférence (impossibilité de déduire de nouvelles informations sur un individu).

 

En pratique, dans l’affaire CEGEDIM, la CNIL a donc dû déterminer si les personnes concernées pouvaient être ré-identifiées par des moyens raisonnables. La CNIL s’est appuyée sur la jurisprudence de la Cour de justice de l’Union européenne et les travaux conduits par les autorités de protection des données au niveau européen (avis 05/2014 sur les techniques d’anonymisation du 10 avril 2014). Elle a donc considéré que le risque que l’identité d’une personne puisse être retrouvée était trop élevé pour que les données traitées par CEGEDIM soient considérées comme anonymes.

 

Manquement à l’obligation de traiter les données de manière licite

 

Le RGPD, à son article 5, indique les principes relatifs au traitement des données à caractère personnel qui doivent être respectés par le responsable de traitement.

 

Ces principes sont : licéité, loyauté et transparence ; limitation des finalités ; minimisation des données ; exactitude des données ; limitation de la conservation ; intégrité et confidentialité.

 

A ce titre, la CNIL a considéré que la société avait commis un manquement à l’obligation de traiter les données de manière licite, lors de l’utilisation du téléservice « HRi » de l'assurance maladie. La consultation des données de ce téléservice par un médecin membre de « l'observatoire » de CEGEDIM SANTÉ entraînait automatiquement leur téléchargement et aspiration par la société, sans possibilité de simple consultation.

 

La société CEGEDIM SANTÉ conteste la décision de la CNIL et entend faire valoir ses droits devant le Conseil d'État. Selon elle, la CNIL avait connaissance du traitement litigieux depuis de nombreuses années sans remettre en cause la conformité des process ou la sécurisation des données.

 

Cette sanction rappelle l'importance cruciale de la mise en œuvre de mesures techniques pour garantir la confidentialité des données, particulièrement dans le domaine sensible de la santé. Ce n’est pas sans rappeler que les structures de santé sont depuis quelques mois victimes de manière exponentielle d’attaques d’origine cyber. En effet, l’année 2024 a commencé avec la cyberattaque des gestionnaires de tiers payant, qui a mis en péril les données de santé de plus de 33 millions de français.

 

Nos avocats du pôle RH/data sont à votre disposition pour vous informer sur les enjeux à venir et vous accompagner dans votre processus de mise en conformité.

 

Découvrez nos formations RH/data en partenariat avec la legaltech Trustbydesign, et notamment les formations sur la mise en conformité à l’AI Act et sur les bases du RGPD.