RGPD : le dossier de l’usager en ESSMS doit être cloisonné et crypté

Jan 6, 2021Droit des associations et des ESMS, RGPD

}

Temps de lecture : 2 minutes

Par deux délibérations du 7 décembre 2020, la formation restreinte de la Commission nationale de l’informatique et les libertés (CNIL) a sanctionné deux médecins libéraux au motif qu’ils n’avaient pas pris de mesures techniques de protection suffisantes des données de santé qu’ils détenaient, ces données étant librement consultables sur Internet.

.

À la suite d’un contrôle en ligne, la CNIL constate que des milliers d’images médicales hébergées sur des serveurs appartenant à deux médecins libéraux sont librement accessibles sur Internet.

Lors des auditions de contrôle, les médecins reconnaissent que les violations de données ont pour origine un mauvais choix de configuration de leur box Internet ainsi qu’un mauvais paramétrage de leur logiciel d’imagerie médicale. Les investigations menées permettent également d’établir que les images médicales conservées sur leurs serveurs ne sont pas systématiquement chiffrées.

Sur la base de ces éléments, la formation restreinte de la CNIL, compétente pour prononcer les sanctions en cas de non respect du Règlement général pour la protection des données (RGPD), relève que les deux médecins se sont affranchis des principes élémentaires en matière de sécurité informatique. Leur sont ainsi reprochés :

  • un manquement à l’obligation de sécurité des données (article 32 du RGPD) : ils auraient dû s’assurer que la configuration de leur réseau informatique ne conduisait pas à rendre les données librement accessibles sur Internet et procéder au chiffrement systématique des données personnelles hébergées sur leurs serveurs ;
  • un manquement à l’obligation de notifier les violations de données à la CNIL (article 33 du RGPD) : ils n’ont pas effectué ces notifications obligatoires auxquelles ils auraient dû procéder après avoir appris que les images médicales de leurs patients étaient librement accessibles sur Internet.

La CNIL inflige donc aux deux praticiens fautifs des amendes de 3 000 € et 6 000 €.

Pour rappel, les données contenues dans le dossier de l’usager ont le statut de données de santé au sens du RGPD. C’est pourquoi les professionnels des établissements et services sociaux et médico-sociaux (ESSMS) doivent choisir des solutions applicatives présentant le maximum de garanties en termes de sécurité informatique et de protection des données personnelles.

La question de la conformité au RGPD ne tient donc seulement au respect d’exigences juridiques et procédurales, elle doit également être appréhendée en termes techniques. De fait, les responsables de traitement et les délégués pour la protection des données (DPO) doivent faire preuve de prudence au moment de l’élaboration et du paramétrage de leur système informatique interne, en s’entourant si nécessaire de prestataires informatiques compétents.

Le cabinet ACCENS AVOCATS & CONSEILS a intégré cette dimension technique de sûreté informatique des données dans les prestations de diagnostic et d’accompagnement des ESSMS qu’il propose, en incluant l’intervention d’informaticiens qualifiés.

Délibération SAN-2020-014 du 7 décembre 2020

Délibération SAN-2020-015 du 7 décembre 2020

Ces articles pourraient vous intéresser