Traiter des données de santé sans autorisation : La CNIL vient de sanctionner sévèrement l’entreprise Cegedim Santé, éditeur de logiciels dans le secteur de la santé, avec une amende de 800 000 euros. Ce montant important a été infligé pour avoir collecté et traité des données de santé de manière illicite, sans autorisation et en les pseudonymisant uniquement, et non en les anonymisant.
Un manquement à la législation sur les données de santé
Cegedim, qui opère des solutions de gestion pour environ 25 000 cabinets médicaux et 500 centres de santé, a mis en place un téléservice nommé HRi permettant à un groupe de médecins d’adhérer à un « observatoire ». Ce programme collectait automatiquement des données de patients pour mener des études statistiques dans le domaine de la santé.
Cependant, les données n’étaient pas anonymes, mais pseudonymisées. Cela signifie qu’une réidentification des personnes concernées était techniquement possible, contrevenant ainsi aux exigences de la CNIL. Des informations sensibles telles que les antécédents médicaux, les prescriptions ou encore les résultats d’analyse ont été stockées, et la CNIL a estimé que la réidentification de ces données posait un risque inacceptable.
Des manquements multiples et une lourde sanction
La CNIL a relevé plusieurs infractions à la législation en vigueur :
- Absence d’autorisation préalable : Le traitement de données sensibles dans le domaine de la santé nécessite une autorisation spécifique de la CNIL. Or, Cegedim n’a pas sollicité cette autorisation avant de collecter ces données.
- Traitement non licite des données : Les données issues du téléservice HRi étaient automatiquement téléchargées dans le dossier patient des médecins participant au programme. La CNIL a considéré que cette collecte forcée n’était pas conforme au principe de licéité, car il n’y avait pas d’option permettant de consulter les données sans téléchargement automatique.
Des données pseudonymisées mais non anonymes
C’est ici que réside le cœur du problème. La différence entre pseudonymisation et anonymisation est cruciale en matière de protection des données. Les données pseudonymisées permettent encore une identification indirecte des personnes, tandis que les données anonymisées ne le permettent plus. La CNIL a considéré que les informations collectées par Cegedim étaient suffisamment détaillées pour qu’une réidentification des patients soit possible, ce qui constitue un manquement grave dans le cadre des données de santé, qui sont classées parmi les plus sensibles.
Une amende justifiée par la gravité des faits
Avec cette amende de 800 000 euros, la CNIL a tenu à rappeler l’importance de respecter les obligations légales en matière de données de santé. Ce type de données nécessite une attention particulière et une conformité stricte au RGPD et à la loi Informatique et Libertés. Cegedim a depuis initié des démarches pour se mettre en conformité, bien qu’elle conteste les accusations portées par la CNIL et envisage de faire appel de cette décision.
Ce qu’il faut retenir
Cette affaire rappelle aux entreprises manipulant des données sensibles l’importance cruciale de respecter les obligations de conformité, en particulier lorsqu’il s’agit de données de santé. Le moindre manquement peut entraîner des sanctions financières lourdes, mais aussi nuire à la réputation de l’entreprise. Pour éviter de telles situations, il est essentiel de s’assurer que les données sont anonymisées lorsque cela est nécessaire, de solliciter les autorisations requises et de garantir que les traitements sont réalisés en toute transparence et licéité.
- Autorisation de traitement de données de santé : les exigences de la CNIL
- Apple Maps : découverte d’un bug de confidentialité qui a permis à des applications de collecter des données de localisation sans autorisation
- Affaire Cegedim / MLM : anatomie de la plus grave violation de données médicales jamais documentée en France
