Newsletter - ASSERT AVOCATS CONSEILS

À la suite d'un contrôle de la CNIL, une société du secteur de la santé s'est vu infliger une amende de 800 000 € pour avoir utilisé des données médicales de patients sans autorisation.

Les contrôles réalisés par la CNIL

Pour rappel, toute entreprise qui traite des données personnelles permettant d’identifier une personne physique est notamment tenue de respecter les obligations issues du Règlement général sur la protection des données (RGPD) (Règlement (UE) 2016/679 du 27 avril 2016 ; loi 78-17 du 6 janvier 1978).

La Commission nationale de l'informatique et des libertés (CNIL) veille au respect de ces dispositions. Dans ce cadre, elle peut effectuer des contrôles de sa propre initiative ou à la suite de plaintes. En cas de manquements significatifs au RGPD, elle peut infliger des sanctions.

Une société du secteur de la santé épinglée

Des données collectées pour réaliser un « observatoire ». - Une société spécialisée dans le secteur de la santé commercialise des logiciels de gestion d'agenda ou de dossiers de patients au profit de médecins ou de centres de santé.

Pour alimenter un « observatoire » auquel certains médecins ont adhéré, la société récolte des données figurant dans ces logiciels. Cette collecte est destinée à la réalisation d'études et de statistiques dans le domaine de la santé.

Par la suite, cette société fait l'objet d'un contrôle par la CNIL.

La CNIL relève que les données collectées par la société portent sur des informations très sensibles comme les allergies, les antécédents médicaux, la taille, le poids, le diagnostic ou les prescriptions médicales.

Un traitement de données non anonymes. - À l'occasion de son contrôle, la CNIL constate que les informations collectées sont chiffrées et reliées, pour chaque patient, à un identifiant unique. Dès lors, un individu peut être isolé au sein de la base de données et il est possible de retrouver son identité.

La CNIL en conclut que les données utilisées ne sont pas anonymes et que leur traitement permet d'identifier le patient. En conséquence, la société aurait dû respecter ses obligations en matière de protection de données personnelles.

Les manquements constatés

Un défaut d'autorisation de la CNIL. - La CNIL constate que la société collecte des données de santé sans se conformer aux exigences légales.

En effet, une entreprise qui utilise des données de santé doit adresser à la CNIL, soit une demande d’autorisation, soit une déclaration de conformité lorsque le traitement correspond à l’un des référentiels types mentionnés par cette dernière (art. 66 de la loi 78-17 du 6 janvier 1978). Pour autant, la société n'a effectué aucune de ces formalités préalables.

Une collecte illicite des données. - Les investigations menées par la CNIL établissent que la société procède à une aspiration automatique de données issues du téléservice permettant d'accéder à l’historique des remboursements d'un patient sur les 12 derniers mois.

Ainsi, lorsqu'un médecin, utilisateur du logiciel de la société, souhaite obtenir des éléments sur ce téléservice, il ne peut pas simplement les consulter sans les télécharger. Cela implique un transfert systématique des informations dans le fichier du patient sur le logiciel fourni par la société.

La CNIL considère alors qu'en prévoyant ce téléchargement automatique, la société collecte illicitement les données (RGPD, art. 5-1.a).

Les sanctions prononcées

Face aux manquements constatés par la CNIL, la société est condamnée à payer une amende de 800 000 €.

La sanction fait également l'objet d'une mesure de publicité au regard de la gravité des faits et du nombre de personnes concernées. Ainsi, la délibération rendue est accessible sur le site internet de la CNIL et sur le site internet de Légifrance.

CNIL, délibération du 5 septembre 2024, n° SAN-2024-013, JO du 12