+33 6 16 93 97 82 contact@tfmbconsulting.com
Données de santé RGPD TFMB Consulting

Credits photo : Canva

Le 5 septembre 2024, la CNIL a infligé une amende de 800 000 euros à Cegedim Santé. En effet, l’entreprise n’a pas respecté ses obligations en matière de protection des données de santé.

Cegedim Santé : une entreprise au cœur du secteur médical

Cegedim Santé développe et commercialise plusieurs logiciels de gestion destinés aux médecins. Ainsi, environ 25 000 cabinets médicaux et 500 centres de santé utilisent ses solutions pour gérer des prescriptions, des agendas et des dossiers médicaux.

Les faits reprochés

Entre 2021 et 2022, la CNIL a réalisé des contrôles sur les pratiques de Cegedim Santé. À cette occasion, l’autorité de contrôle a constaté qu’un de ses logiciels traitait des données médicales non anonymes sans autorisation. Ces informations étaient ensuite transmises aux clients pour mener des études et des statistiques médicales.

En outre, la CNIL a relevé qu’il était possible de relier ces informations aux patients concernés. L’anonymisation, selon la jurisprudence de l’Union européenne, doit rendre impossible la ré-identification des personnes concernées. Cependant, dans ce cas, les données permettaient potentiellement de réidentifier les individus avec des moyens raisonnables.

Le logiciel collectait ainsi des informations personnelles telles que l’année de naissance, le sexe, la catégorie socio-professionnelle, les antécédents médicaux, le diagnostic, et les prescriptions médicales. De plus, chaque patient recevait un identifiant unique. Ce système permettait donc de reconstituer le parcours de soins d’un patient, ce qui n’est pas conforme aux exigences de sécurité des données.

Les manquements identifiés

D’une part, Cegedim Santé n’a jamais demandé l’autorisation de la CNIL pour traiter ces données sensibles. Elle n’a pas non plus soumis de déclaration de conformité aux référentiels en vigueur dans le domaine de la santé.

D’autre part, le deuxième manquement concerne la légalité du traitement des données. Cegedim Santé, via son téléservice « Hri », a permis l’accès aux historiques de remboursements de frais de santé sur une période de douze mois. Cette pratique a clairement violé l’article 5.1.a du RGPD.

En parallèle, la CNIL a également découvert que Cegedim Santé, via sa communauté appelée « L’Observatoire », proposait un téléchargement automatique des données aux médecins. Ce processus permettait donc de collecter des informations de manière systématique sans contrôle approprié. La CNIL a ainsi jugé que l’accès aux données devait être strictement limité aux médecins, sans récupération automatique par Cegedim Santé.

La sanction

En conséquence, la CNIL a décidé de sanctionner Cegedim Santé avec une amende de 800 000 euros. Cette sanction souligne donc l’importance des mesures de sécurité dans le traitement des données personnelles, notamment dans le domaine médical.

Mesures correctives

Pour éviter une injonction de mise en conformité de la CNIL, Cegedim Santé a rapidement modifié ses pratiques. Désormais, les données recueillies par les médecins ne transitent plus via Cegedim Santé. Elles sont désormais directement envoyées à une base de données détenue par une autre société du groupe.

Conclusion

En résumé, cette sanction de la CNIL rappelle aux organisations l’importance de respecter le RGPD. En effet, une gestion rigoureuse des données personnelles permet d’éviter des amendes élevées et de préserver la confiance des utilisateurs. Il est donc impératif que les entreprises renforcent leurs politiques de sécurité pour protéger les données sensibles, notamment celles liées à la santé.

TFMB Consulting est un cabinet de proposant du conseil, de l’audit et de la formation en protection des données personnelles. Nous pouvons vous accompagner si vous utilisez des données de santé ou, plus généralement des données personnelles. N’hésitez pas à nous contacter pour aider votre organisme à faire face à ses enjeux.