400 000€ d’amende pour 3 violations du RGPD – données médicales sanction
L’autorité nationale qui a contrôlé une clinique au portugal et a soulevé 3 infractions au Règlement général (RGPD) données médicales sanction.
En effet, plusieurs personnels administratifs de l’hôpital disposaient d’accès à des données qui auraient dû être strictement réservés aux médecins. Or, les accès aux données doivent être cloisonnés et seules les personnes dûment habilitées devraient disposer d’un accès, notamment aux données sensibles.
Dans un deuxième temps, l’autorité portugaise a remarqué que seulement 296 médecins travaillent à l’hôpital, pourtant elle a souligné que 985 médecins pouvaient accéder aux dossiers médicaux des patients : les médecins vacataires, même ceux qui n’exercent plus, avaient donc toujours accès aux données sensibles malgré la rupture des liens avec l’hôpital.
Enfin, le contrôle sur place a donné lieu à la création d’un compte d’utilisateur de test sur le système informatique de l’hôpital. Or, avec ce simple compte, le personnel du régulateur portugais a pu accéder à des données sensibles tels que les dossiers médicaux des patients. Cela démontre l’absence totale de maîtrise des habilitations en fonction des profils créés.
Des arguments faibles et une sanction forte
La direction de l’hôpital aurait mis en avant plusieurs arguments pour justifier de ces différentes anomalies dans sa politique de protection des données personnelles. Ainsi, elle aurait indiqué que c’est le ministère de la santé qui gère les habilitations pour accéder aux données. Elle aurait également précisé que l’hôpital ne dispose pas d’outils informatiques suffisamment développés pour assurer la bonne gestion des données personnelles.
Mais l’autorité nationale de régulation ne s’est pas laissé convaincre. 3 violations du RGPD ont donc été retenues à l’encontre du centre hospitalier : la violation des principes d’intégrité et de confidentialité des données, la violation du principe de limitation d’accès aux données, puis l’incapacité pour le responsable du traitement des données à garantir l’intégrité des données. Pour l’ensemble de ces violations, l’hôpital devra payer une amende de 400 000€.
Ce montant peut sembler clément en comparaison avec les plafonds de 10 millions d’euros et 20 millions d’euros prévus par le RGPD. Rappelons toutefois que le centre hospitalier a la faculté de faire appel de cette décision.
Quelles sont les montants maximum des amendes RGPD
Le montant des sanctions prévues par le RGPD (Règlement général sur la protection des données) dépend de différents facteurs, notamment de la gravité de la violation, de la durée de la violation et des efforts consentis pour la remédier.
En France, le montant maximal des sanctions prévues par le RGPD est de 20 millions d’euros ou de 4% du chiffre d’affaires mondial annuel de l’entreprise, selon le montant le plus élevé.
Cependant, il est important de noter que le montant des sanctions n’est pas fixé à l’avance et qu’il peut varier en fonction des circonstances de chaque cas. Les autorités de contrôle, comme la CNIL en France, ont un pouvoir discrétionnaire pour déterminer le montant des sanctions en fonction des éléments de chaque dossier.
En outre, il est également possible de faire appel des décisions de sanctions prononcées par les autorités de contrôle devant les tribunaux compétents. Les tribunaux peuvent réexaminer la décision et éventuellement modifier le montant des sanctions.
En résumé, le montant des sanctions prévues par le RGPD peut varier en fonction de différents facteurs et peut être sujet à appel devant les tribunaux compétents. Il est donc important de se tenir informé des dernières évolutions en matière de sanctions et de se conformer aux obligations du RGPD pour éviter toute sanction.