Des médecins sanctionnés par la Commission Nationale de l’Informatique et des Libertés

La sanction des médecins tourne entre 3000 et 6000 €.

C’est ce qui a été prononcée par l’autorité administrative indépendante chargée de veiller au respect des droits concernant les données personnelles des Français. Selon la Commission Nationale de l’Informatique et des Libertés, ces deux médecins du privé n’auraient pas suffisamment protégé les données médicales et personnelles de leurs clients. Sans oublier que la violation de ces données n’aurait pas été signalée à la commission qui est en charge de cela.

Cet article va aussi vous intéresser : Le site internet Doctissimo, dans le collimateur de la CNIL pour violation du règlement européen de la protection des données personnelles

Les faits remontent depuis le mois de septembre de l’année dernière. Les experts de l’autorité administrative avaient pu constater que sur des serveurs accessibles à tout le monde sur Internet, il y avait des images médicales et d’autres données appartenant à ces deux médecins du secteur privé. Selon ces derniers, cette fuite a été causée par un mauvais paramétrage de leur box internet et c’est une mauvaise configuration de plusieurs de logiciels en charge de gérer imagerie médicale. Par ailleurs, la Commission nationale de l’Informatique et des libertés a aussi remarqué le fait que ces images médicales n’avaient pas été suivie de chiffrement de sécurité.

Les manquements étaient assez nombreux du côté des médecins. En effet, en plus d’avoir laissé les ports du box ouverts, il y avait sur ces mêmes ports des disques durs amovibles qui devrait être connectés à internet alors qu’il contenait bel et bien des données médicales de leurs patients. L’un de ces médecins affirment avoir confié la sécurité des données et la configuration de son matériel informatique à un spécialiste qui apparemment n’a pas fait correctement son travail. Par contre, l’autre a affirmé avoir paramétré lui-même ses serveurs.

Selon la Commission nationale de l’Informatique et des libertés, peut-être sanctionné toute personne qui stocke des données médicales sur un ordinateur sans les chiffrer. C’est d’ailleurs ce qui est reproché au médecin sanctionné par l’autorité administrative, « estimant que le chiffrement ralentit trop l’exécution des applications (dossier médical, outil de visualisation des images ».

Ce n’est pas tout, en plus des données médicales, il y avait d’autres informations personnelles appartenant les patients de ces médecins. À savoir des noms et les prénoms, des dates de naissance de date de réalisation des examens, et même la nature des examens réalisés dans les établissements de manière précise.

La Commission nationale de l’Informatique et des Libertés a rappelé que : « En l’absence de chiffrement, les données médicales contenues dans le disque dur de cet ordinateur étaient lisibles en clair par toute personne prenant possession de cet appareil (par exemple, à la suite de sa perte ou de son vol) ou par toute personne s’introduisant de manière indue sur le réseau auquel cet ordinateur était raccordé. ».

Il est donc recommandé de toujours pourvoir des moyens de chiffrement sur des terminaux nomades et tout support de stockage amovible.

Par ailleurs, il faudrait noter que la sanction est quand même lourde. Pour justifier, l’autorité administrative affirme que les médecins n’ont pas déployé suffisamment de moyens élémentaires pour assurer la sécurité des données de leurs patients. De ce fait, les médecins ont manqué à leur obligation de sécurité de données présentes dans l’article 32 du règlement général des données. Au regard de cette norme européenne, les médecins auraient dû s’assurer que le paramétrage de leurs réseaux informatiques était susceptible de maintenir un niveau assez important de sécurité pour protéger les informations qui était à leurs responsabilités.

Par ailleurs, la commission souligne d’autre manquement à savoir : « le responsable de traitement doit, en toute circonstance, respecter l’exigence de notification prévue à l’article 33 du Règlement à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. La circonstance que la violation de données avait été portée à la connaissance de M. […] par le service des contrôles de la CNIL ne le déchargeait pas de cette obligation. ».

Cependant que la Commission nationale de l’Informatique et des libertés n’a pas voulu divulguer le nom des médecins sanctionnés. La raison n’a pas été aussi divulgué. Cependant ces sanctions seront de nature a interpellé les autres sur l’importance de la sauvegarde des données personnelles.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage