Sécurité informatique : la CNIL sanctionne deux médecins libéraux de 3000 et 6000 € d'amende
3000 et 6000 €, telles sont les deux amendes prononcées par la CNIL le 7 décembre dernier à l’encontre de deux médecins libéraux pour ne pas avoir suffisamment protégé les données personnelles et médicales de leurs patients et ne pas avoir notifié une violation de données à la CNIL.
En septembre 2019, la CNIL a pu constater que des milliers d’images médicales hébergées sur des serveurs appartenant à deux médecins libéraux étaient librement accessibles sur Internet.
Si les médecins interrogés ont reconnu leurs torts à savoir un mauvais paramétrage de leur box Internet ainsi qu’un mauvais paramétrage de leur logiciel d’imagerie médicale, la CNIL a également constaté que les images médicales n’étaient pas systématiquement chiffrées.
Concrètement, les médecins avaient non seulement activé la fonction serveur de leur logiciel d’imagerie, mais ils avaient également laissé les ports de la box ouverts pendant que le disque dur amovible sur lequel était stockées en clair les images des patients était connecté de façon permanente.
Si un des deux médecins avait préféré configurer lui-même son logiciel d’imagerie et son réseau interne plutôt que d’en confier le soin à un prestataire expert, le second a assuré avoir délégué cette tâche à un professionnel, mais n’a pu en faire la preuve.
Disposer de données médicales non chiffrées sur son ordinateur est sanctionnable par la CNIL
Les médecins n’avaient pas non plus jugé bon de chiffrer les images des patients sur leur ordinateur portable, « estimant que le chiffrement ralentit trop l’exécution des applications (dossier médical, outil de visualisation des images ». Autre circonstance aggravante pour la CNIL, d’autres données personnelles étaient également accessibles en clair comme les noms, prénoms et date de naissance du patient, la date de réalisation de l’examen, le nom du praticien référent et du praticien ayant réalisé l’examen et le nom de l’établissement dans lequel l’examen a eu lieu.
La CNIL rappelle que « En l’absence de chiffrement, les données médicales contenues dans le disque dur de cet ordinateur étaient lisibles en clair par toute personne prenant possession de cet appareil (par exemple, à la suite de sa perte ou de son vol) ou par toute personne s’introduisant de manière indue sur le réseau auquel cet ordinateur était raccordé.
La CNIL recommande de prévoir des moyens de chiffrement des postes nomades et supports de stockage mobiles (ordinateur portable, clés USB, disque dur externe, CD-R, DVD-RW, etc.), par exemple via le chiffrement du disque dur dans sa totalité lorsque le système d’exploitation le propose, le chiffrement fichier par fichier ou la création de conteneurs (fichier susceptible de contenir plusieurs fichiers) chiffrés. De même, le Guide pratique pour les médecins invite les médecins à procéder au chiffrement des données de leurs patients avec un logiciel adapté.
Faute avouée, pleinement sanctionnée
Pour justifier le montant des amendes prononcées, la CNIL explique que les médecins se sont bel et bien affranchis des principes élémentaires de sécurité informatique.
Elle a retenu un manquement à l’obligation de sécurité des données (article 32 du RGPD), considérant qu’ils auraient notamment dû s’assurer que la configuration de leurs réseaux informatiques ne conduisait pas à rendre les données librement accessibles sur Internet et procéder au chiffrement systématique des données personnelles hébergées sur leurs serveurs.
Elle a également retenu un manquement à l’obligation de notifier les violations de données à la CNIL (article 33 du RGPD). En effet, les deux médecins n’ont pas effectué ces notifications obligatoires auxquelles ils auraient dû procéder après avoir appris que les images médicales de leurs patients étaient librement accessibles sur Internet, et ce même si ce sont les services de contrôle de la CNIL qui ont porté à l’attention des médecins l’existence de la violation des données.
“le responsable de traitement doit, en toute circonstance, respecter l’exigence de notification prévue à l’article 33 du Règlement à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. La circonstance que la violation de données avait été portée à la connaissance de M. […] par le service des contrôles de la CNIL ne le déchargeait pas de cette obligation.”
Si les noms des médecins n’ont pas été dévoilés par la CNIL, elle a tenu à faire la publicité de ces décisions pour alerter les professionnels de la santé sur leurs obligations et la nécessité de renforcer leur vigilance sur les mesures de sécurité apportées aux données personnelles qu’ils traitent.
Pour en savoir plus sur ce thème
Descripteur MESH : Médecins , Patients , Internet , Logiciel , Sécurité , Réseau , Conseil , Noms , Risque , Connaissance , Sécurité informatique , Informatique , Personnes , Santé , Cabinets médicaux , Mesures de sécurité