Violation du secret des données de santé: deux médecins libéraux viennent d'être sanctionnés par la CNIL

Le 7 décembre 2020, la formation restreinte de la CNIL a prononcé deux amendes de 3 000 € et 6 000 € à l’encontre de deux médecins libéraux pour avoir insuffisamment protégé les données de santé à caractère personnel de leurs patients et ne pas avoir notifié une violation de données à la CNIL. https://www.cnil.fr/fr/violations-de-donnees-de-sante-la-cnil-sanctionne-deux-medecins  

Chargée de contrôler le respect du règlement général de protection des données (RGPD) (http://www.telemedaction.org/442230230) depuis sa date d'entrée en application en France le 25 mai 2018, la CNIL exerce désormais un rôle de contrôle et sanctionne ceux qui ne respectent pas le RGPD. Ces premières sanctions administratives vis à vis de médecins libéraux feront certainement jurisprudence. Il nous apparaît important d'en relater les circonstances. 

Un contrôle fait en ligne au mois de septembre 2019.

La CNIL constate lors d’un contrôle en ligne que des milliers d’images médicales hébergées sur des serveurs appartenant à deux médecins libéraux étaient librement accessibles sur Internet. La CNIL a convoqué les médecins. 

Lors des auditions de contrôle, les médecins ont reconnu que les violations de données avaient pour origine un mauvais choix de configuration de leur box Internet ainsi qu’un mauvais paramétrage de leur logiciel d’imagerie médicale. Les investigations menées ont également permis d’établir que les images médicales conservées sur leurs serveurs n’étaient pas systématiquement chiffrées.

Deux manquements au RGPD

Sur la base des éléments recueillis lors des auditions de contrôle, la formation restreinte de la CNIL en charge de prononcer les sanctions, a relevé que les deux médecins s’étaient affranchis des principes élémentaires en matière de sécurité informatique. Elle a retenu un manquement à l’obligation de sécurité des données (article 32 du RGPD), considérant que ces médecins auraient dû s’assurer que la configuration de leurs réseaux informatiques ne conduisait pas à rendre les données librement accessibles sur Internet et procéder au chiffrement systématique des données personnelles hébergées sur leurs serveurs.

La formation restreinte rappelle que la gravité du manquement à l’article 32 du RGPD est d’autant plus caractérisée que des données de santé sont concernées et que cette catégorie particulière de données à caractère personnel doit bénéficier de mesures de sécurité renforcées, conformément au considérant 75 du RGPD.

La formation restreinte a également retenu un manquement à l’obligation de notifier les violations de données à la CNIL (article 33 du RGPD). En effet, les deux médecins n’ont pas effectué ces notifications obligatoires auxquelles ils auraient dû procéder après avoir appris que les images médicales de leurs patients étaient librement accessibles sur Internet

Les délibérations de la CNIL

Elles sont rendues publiques, mais anonymisées. Elles ont été publiées le 17 décembre 2020 sur le site de legifrance.gouv.fr

Délibération SAN-2020-014 du 7 décembre 2020 - Légifrance (legifrance.gouv.fr)

Délibération SAN-2020-015 du 7 décembre 2020 - Légifrance (legifrance.gouv.fr)

Dans les deux cas, il s'agit d'un accès libre à des serveurs informatiques d’imagerie médicale permettant la consultation et le téléchargement d’images médicales (IRM, radios, scanners, etc…) suivies notamment des noms, prénoms, dates de naissance et dates de consultation des patients. Les aspects techniques qui caractérisent cet accès non protégé peuvent être trouvés dans les deux délibérations de la CNIL (liens ci-dessus)

Le volume des données de santé potentiellement violées est important : 1200 séries d'images pendant 5 ans pour le premier médecin, 5300 séries d'images pendant 4 mois pour le deuxième. Pour toutes ces séries d'images en accès libre, les patients pouvaient être identifiés.

Les deux médecins ont failli à deux principes élémentaires en matière de sécurité informatique, à savoir la protection du réseau informatique interne par la limitation des flux réseau au strict nécessaire et le chiffrement des données à caractère personnel.

Les sanctions prononcées : des amendes administratives à la fois proportionnées et dissuasives

L'article 83 du RGPD prévoit que les amendes soient effectives, proportionnées et dissuasives. Elles peuvent s'élever jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires d'une entreprise. S'agissant de médecins en exercice libéral le niveau de l'amende a été arrêté, d'une part sur la gravité du manquement, d'autre part sur la capacité financière des médecins à régler cette amende tout en assurant son caractère dissuasif.

Pour le premier médecin, la formation restreinte de la CNIL considère que le manquement à l’article 32 du RGPD présente une gravité certaine, mais qu’en revanche le manquement à l’article 33, c'est à dire l'obligation de notifier à la CNIL les violations des données, présente en l’espèce un caractère formel puisque l'auteur ignorait probablement qu'il fallait immédiatement (dans les 72h) notifier à la CNIL cette situation de violation de données lorsqu'on lui a signifié cette anomalie, c'est à dire l'absence de protection des données de santé depuis au moins 5 ans. Sur la base d'un revenu mensuel déclaré de 8000 euros, l'amende prononcée pour les deux manquements est de 6000 euros.

Pour le second médecin, la formation restreinte considère également que le manquement à l’article 32 du RGPD présente une gravité certaine, l'accès libre aux données sur le web ayant duré 4 mois, mais qu’en revanche le manquement à l’article 33, s'il présente toujours un caractère formel, pouvait être ignoré, l'auteur ayant rapidement mis fin à cette situation dès le signalement fait par la CNIL. Sur la base des revenus déclarés en 2018 de 97000 euros, l'amende administrative est de 3000 euros pour les deux manquements.

Les deux médecins ont deux mois pour faire appel de la sanction administrative à partir du 17 décembre 2020, auprès du Conseil d'Etat.

Commentaires

Il s'agit des premières sanctions prononcées par la CNIL à l'encontre de médecins libéraux exerçant la spécialité de radiologie. Dans les deux cas, les manquements au RGPD ont été considérés par la formation restreinte de la CNIL, en charge de prononcer les sanctions administratives, comme d'une gravité certaine pour l'article 32 compte-tenu du volume des données de santé à caractère personnel qui ont pu être violées pendant une durée de 5 ans pour le médecin qui a la plus forte amende et de 4 mois pour l'autre médecin.

Manifestement, ces médecins ignoraient l'existence des obligations du RGPD, ce qui pose la question de la formation des médecins libéraux à l'évolution de la réglementation en matière de protection des données de santé. Le CNOM et la CNIL ont publié ensemble le 20 juin 2018, soit un mois après l'entrée en vigueur du RGPD en France, un guide pratique de recommandations. RGPD : le Conseil National de l’Ordre des Médecins et la CNIL publient un guide pratique à l’attention des médecins | CNIL 

Combien de médecins libéraux ont lu cette monographie remarquablement bien écrite ? Les ordres départementaux ont relié cette monographie auprès de tous les médecins inscrits à l'ordre. Les organisations représentatives de la médecine libérale ont-elles informé leurs adhérents ? Les Sociétés médicales savantes ont-elles mis ce thème au programme de leurs congrès ? Les compagnies d'assurance en responsabilité civile professionnelle ont-elles correctement informé les professionnels de santé ? La protection des données de santé à caractère personnel mérite certainement qu'un effort important d'information et de formation soit fait auprès des professionnels de santé, tous métiers confondus.

Ne faudrait-il pas alors intégrer le thème du RGPD dans les orientations pluriannuelles prioritaires du développement professionnel continu pour les années 2020-2022 ?  Lorsque l'on consulte les orientations 135 à 137 dédiées à la radiologie, aucun des thèmes abordés ne suggère que le RGPD sera traité. Même constat pour les quelques 238 autres orientations de l'ANDPC. Plus de 400 000 professionnels de santé sont d'exercice libéral en France, dont 105 800 médecins. Ils doivent gérer des données de santé à caractère personnel dans des logiciels métiers sensés respecter le RGPD.

L'auteur de ce billet fait le constat à chacune de ses formations en télésanté que les professionnels de santé en activité ne connaissent pas le RGPD. On rétorquera que "nul n'est censé ignorer la loi ". Les professionnels de santé se plaignent régulièrement du "trop plein" de règles administratives qu'ils n'ont pas le temps de lire, eu égard à la charge de soins toujours plus importante. Ne faut-il pas les aider à en connaître l'essentiel ? A une époque où les formations peuvent se faire désormais en classe virtuelle, il est tout à fait possible de délivrer une formation aux obligations de RGPD pour les professionnels de santé sur une durée de 2h.

22 décembre 2020