Le 7 décembre 2020, la CNIL a prononcé deux amendes de 3 000 € et 6 000 € à l’encontre de deux médecins libéraux pour avoir insuffisamment protégé les données personnelles de leurs patients et ne pas avoir notifié une violation de données à la CNIL.
Dans le cadre d’un contrôle en ligne réalisé en septembre 2019, la CNIL a constaté que des milliers d’images médicales hébergées sur des serveurs appartenant à deux médecins libéraux étaient librement accessibles sur Internet.
Ces violations de données avaient pour origine :
- un mauvais choix de configuration de leur box Internet ;
- un mauvais paramétrage de leur logiciel d’imagerie médicale ;
- un défaut de chiffrement systématique des images médicales conservées sur leurs serveurs.
La CNIL a donc considéré que les médecins avaient manqué :
- à l’obligation de sécurité des données (article 32 du RGPD) ;
- à l’obligation de notifier les violations de données à la CNIL (article 33 du RGPD).
La CNIL a considéré que les médecins auraient notamment dû s’assurer que la configuration de leurs réseaux informatiques ne conduisait pas à rendre les données librement accessibles sur Internet et chiffrer asystématiquement des données personnelles hébergées sur leurs serveurs.
Ils auraient également dû notifier la CNIL de la violation des données après avoir en avoir eu connaissance.
En rendant publique cette sanction, la CNIL souhaite rappeler au professionnel de choisir les solutions applicatives présentant le maximum de garanties en termes de sécurité informatique et de protection des données personnelles et de faire appel si nécessaire à des prestatires compétent lors de l’élaboration et du paramétrage de leur système informatique interne.
Pour une lecture complète des décisions cliquez ici et ici.