La CNIL a sanctionné un chirurgien orthopédiste parisien, le 7 décembre 2020, pour n’avoir pas sécurisé l’accès aux images médicales (IRM, radios, scanners) de ses patients conformément aux exigences du RGPD.

Les images médicales des patients étaient librement accessibles sur Internet, car le médecin avait branché son disque dur sur la Livebox[1] de son domicile et désactivé toutes les protections pour lui permettre d’accéder à distance à son logiciel d’imagerie. Le médecin n’était cependant pas la seule personne à pouvoir accéder à ces données. Toute personne qui connaissait l’adresse IP de la connexion Internet du médecin pouvait aussi accéder aux 5 300 images des patients et aux données associées. Un site Web a d’ailleurs découvert cette adresse IP et la signalée. La CNIL est intervenue et a identifié l’auteur de cette adresse IP avec l’aide des fournisseurs d’accès à Internet.

La CNIL reproche au médecin de n’avoir pas « mis en œuvre les mesures techniques appropriées pour garantir la sécurité du traitement »[2] et a rappelé que les recommandations[3] actuelles demandent de « limiter le plus possible la connexion d’appareils non professionnels sur le réseau au sein duquel sont traitées les données des patients » et de « recourir à des moyens d’authentification forte pour accéder à ce réseau ».

La Commission française reproche également au médecin de ne pas avoir chiffré les données contenues dans ses trois ordinateurs portables et dans son ordinateur fixe, ce qui permettrait, en cas de perte de vol de l’appareil ou dans le cas d’une intrusion réseau, de ne pas permettre à une personne non autorisée d’accéder aux données des appareils. Le chiffrement des données est d’autant plus important lorsque les données contenues dans l’appareil sont des données de santé, qui sont une « catégorie particulière »[4] de données.

Par ailleurs, la Commission reproche aussi au médecin de ne pas lui avoir notifié cette violation de données. La Commission rappelle qu’une déclaration doit obligatoirement être effectuée[5], même dans le cas où la violation est connue des services de la CNIL, car cela permet au responsable du traitement d’apporter éventuellement des éléments complémentaires.

Une sanction de 3 000 euros a été prononcée à l’encontre du médecin, soit 3 % de ses revenus de l’année[6].

Appel de la décision

Le chirurgien a fait appel de cette décision devant le Conseil d’État et demande l’annulation de sa sanction et à être indemnisé à hauteur de 3 000 €.

Le Conseil d’État a confirmé les manquements à l’obligation de sécurité des données. Il a toutefois considéré que le manquement à l’obligation de notifier la violation de données à la CNIL ne devait pas s’appliquer dans ce cas, puisque la Commission disposait déjà de suffisamment d’informations. La sanction a, par conséquent, été ramenée à 2 500 euros.

Lire :

Notes et références

  1. Une Livebox est un appareil électronique multifonction (box) proposé par l’opérateur Orange, qui intègre un modem pour se connecter à Internet ainsi qu’un routeur pour connecter des périphériques, un module pour regarder la télévision, un module pour téléphoner, etc.
  2. Le RGPD demande aux responsables de traitement de données à caractère personnelles de prendre des « mesures techniques appropriées afin de garantir un niveau de sécurité adapté au risque » (source : RGPD, article 32-2). Le médecin traitant des données de santé, il aurait donc dû prendre des mesures pour sécuriser l’accès à son réseau et pour sécuriser l’accès aux données des patients.
  3. La CNIL a publié un « Guide pratique pour les médecins » en collaboration avec l’Ordre National des Médecins. Ce guide contient des recommandations pour permettre aux médecins de mieux sécuriser les données.
  4. Le RGPD définit les données de santé comme « une catégorie particulière de données » (source : RGPD, article 9). Cette catégorie de données « est susceptible d’entraîner des dommages physiques, matériels ou un préjudice moral » (source : RGPD, considérant 75).
  5. En cas de violation de données, le RGPD demande aux responsables de traitement de « notifie[r] la violation en question à l’autorité de contrôle compétente […] à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques » (source : RGPD, article 33-1). Les données de santé des patients ayant été accessibles librement sur Internet pendant quatre mois, le médecin aurait dû effectuer une déclaration. Voir « Faut-il déclarer aux autorités la perte ou la divulgation de données à caractère personnel ».
  6. Le médecin avait déclaré un revenu annuel de 97 000 euros.

Sigles et acronymes

  • CNIL : Commission Nationale de l'Informatique et des Libertés
  • RGPD : Règlement Général sur la Protection des Données