400 000€ d’amende pour 3 violations du RGPD
L’autorité nationale qui a contrôlé une clinique au portugal et a soulevé 3 infractions au Règlement général (rGPD).
En effet, plusieurs personnels administratifs de l’hôpital disposaient d’accès à des données qui auraient dû être strictement réservés aux médecins. Or, les accès aux données doivent être cloisonnés et seules les personnes dûment habilitées devraient disposer d’un accès, notamment aux données sensibles.
Dans un deuxième temps, l’autorité portugaise a remarqué que seulement 296 médecins travaillent à l’hôpital, pourtant elle a souligné que 985 médecins pouvaient accéder aux dossiers médicaux des patients : les médecins vacataires, même ceux qui n’exercent plus, avaient donc toujours accès aux données sensibles malgré la rupture des liens avec l’hôpital.
Enfin, le contrôle sur place a donné lieu à la création d’un compte d’utilisateur de test sur le système informatique de l’hôpital. Or, avec ce simple compte, le personnel du régulateur portugais a pu accéder à des données sensibles tels que les dossiers médicaux des patients. Cela démontre l’absence totale de maîtrise des habilitations en fonction des profils créés.
Des arguments faibles et une sanction forte
La direction de l’hôpital aurait mis en avant plusieurs arguments pour justifier de ces différentes anomalies dans sa politique de protection des données personnelles. Ainsi, elle aurait indiqué que c’est le ministère de la santé qui gère les habilitations pour accéder aux données. Elle aurait également précisé que l’hôpital ne dispose pas d’outils informatiques suffisamment développés pour assurer la bonne gestion des données personnelles.
Mais l’autorité nationale de régulation ne s’est pas laissé convaincre. 3 violations du RGPD ont donc été retenues à l’encontre du centre hospitalier : la violation des principes d’intégrité et de confidentialité des données, la violation du principe de limitation d’accès aux données, puis l’incapacité pour le responsable du traitement des données à garantir l’intégrité des données. Pour l’ensemble de ces violations, l’hôpital devra payer une amende de 400 000€.
Ce montant peut sembler clément en comparaison avec les plafonds de 10 millions d’euros et 20 millions d’euros prévus par le RGPD. Rappelons toutefois que le centre hospitalier a la faculté de faire appel de cette décision.
