Dans une décision du 17 décembre, la Commission Nationale Informatique et Libertés (CNIL) a sanctionné deux médecins pour n’avoir « pas protégé les données personnelles de leurs patients, dont les images médicales étaient librement accessibles sur Internet ». Les médecins n’avaient pas non plus informé la CNIL de « la violation des données personnelles de leur patientèle » après avoir eu connaissance du problème. Ils sont maintenant redevables d’une amende de 3 000 et 6 000 euros. Leur identité n’a pas été rendue publique.
La CNIL avait constaté le manquement lors « d’un contrôle en ligne réalisé en septembre 2019 ». Les médecins ont plaidé « un mauvais choix de configuration de leur box Internet ainsi qu’un mauvais paramétrage de leur logiciel d’imagerie médicale ». « Les images médicales conservées sur leurs serveurs n’étaient pas systématiquement chiffrées. » Pour la formation restreinte, c’est-à-dire l’« organe de la CNIL chargé de prononcer les sanctions », il s’agit d’« un manquement à l’obligation de sécurité des données (article 32 du RGPD) ».
Par la « publicité de ces décisions », la Commission veut « alerter les professionnels de la santé sur leurs obligations et la nécessité de renforcer leur vigilance sur les mesures de sécurité apportées aux données personnelles qu’ils traitent ».
Source : L’Usine Digitale, Aude Chardenon (21/12/2020)
