Médecins : quand des données de patients se retrouvent sur le Web…
RGPD : une nuance à l’obligation de notification
Après avoir lu sur internet des informations préoccupantes au sujet de données d’imageries médicales qui seraient en libre accès sur la toile, la CNIL a décidé de mener l’enquête.
A cette occasion, elle a identifié plusieurs médecins comme étant les responsables du traitement de ces données problématiques et les a informés du risque qu’ils faisaient ainsi courir à leurs patients.
Quelques jours plus tard, l’un des praticiens concernés informe la CNIL que les mesures nécessaires pour faire cesser le risque ont été prises…
Pour autant, la commission décide tout de même de le condamner au paiement d’une amende de 3 000 €. Pourquoi ? Parce que 5 300 fichiers d’imageries médicales, accompagnés des informations personnelles de patients, étaient librement accessibles sur son réseau local et, de surcroit, sans aucun chiffrement des données.
Elle lui reproche également de ne pas avoir satisfait à l’obligation de notification qui incombe à tout responsable de traitement qui est averti d’une violation commise sous sa responsabilité.
Ce que le médecin conteste, estimant qu’il n’était pas nécessaire de notifier à la CNIL la situation, cette dernière étant à l’origine de l’enquête ayant mis au jour les violations reprochées…
Ce que confirme le juge, qui décide de maintenir l’amende du fait de l’imprudence du médecin, mais qui lui donne néanmoins raison au sujet de l’obligation de notification.
Il estime, en effet, qu’en informant le médecin de la violation de la règlementation applicable, la CNIL disposait déjà de toutes les informations nécessaires. Restait, pour seule obligation au médecin, de remédier à la situation.
- Arrêt du Conseil d’Etat du 22 juillet 2022, n°449694