Le 7 décembre 2020, deux médecins libéraux ont été sanctionnés par la CNIL. La Commission a prononcé à leur encontre deux peines d’amende s’élevant à 3 000 € et à 6 000 € en raison de l’absence :
- de protection suffisante des données personnelles de leurs patients (article 32 du RGPD),
- de notification de la violation des données (article 33 du RGPD).
La Commission relève que les deux praticiens ont failli à deux principes élémentaires en matière de sécurité informatique, à savoir la protection du réseau informatique interne par la limitation des flux réseau au strict nécessaire et le chiffrement des données à caractère personnel (délibération SAN-2020-014 du 7 décembre 2020 et délibération SAN-2020-015 du 7 décembre 2020).
La CNIL révèle que ses services ont procédé à un contrôle en ligne, les 20 et 24 septembre 2019, qui a confirmé le caractère librement accessible à des serveurs informatiques d’imagerie médicale de deux médecins libéraux permettant la consultation d’images médicales (IRM, radios, scanners…) suivies notamment des nom, prénoms, date de naissance et date de consultation des patients.
La violation des données résultait d’un simple mauvais choix de configuration de leur box internet couplé à un mauvais paramétrage de leur logiciel d’imagerie médicale et n’était en aucun cas intentionnel.
La CNIL a, cependant, souhaité rendre publique ces décisions sur le site de la CNIL et sur le site de légifrance sans identifier les deux médecins responsables de traitement afin d’alerter les professionnels de la santé sur leurs obligations et la nécessité de renforcer leur vigilance sur les mesures de sécurité apportées aux données personnelles de leurs patients, notamment lors du paramétrage de leur système informatique interne, en s’entourant si nécessaire de prestataires compétents en la matière.
