🏥 Données de santé : sanction de 800 000 euros

🏥 Données de santé : sanction de 800 000 euros

📢 Actualité RGPD – CNIL Septembre 2024

Le 5 septembre 2024, la CNIL a infligé une amende de 800 000 euros à la société CEGEDIM SANTÉ pour des manquements graves dans le traitement des données de santé. Voici les principaux points de cette sanction.

Info
Qu'est-ce qu'une donnĂ©e sensible ? 
Une donnée sensible désigne une information concernant une personne physique qui peut porter atteinte à sa vie privée.
Exemples : Les données relatives à la santé, à l'origine ethnique, aux opinions politiques, aux croyances religieuses, ou encore à l'orientation sexuelle.

🔒 Traitement de données de santé sans autorisation

La société CEGEDIM SANTÉ utilisait des données de santé pseudonymisées, et non anonymisées, pour produire des études et des statistiques, sans avoir obtenu au préalable l’autorisation de la CNIL.
Ces données, associées à un identifiant unique, contenaient des informations sensibles telles que les diagnostics, les prescriptions et les antécédents médicaux. Cette pratique augmentait considérablement le risque de réidentification des patients.

Info
Quelle est la différence entre anonymisation et pseudonymisation ?
  • Anonymisation : Les donnĂ©es sont transformĂ©es de manière irrĂ©versible, rendant impossible toute identification, mĂŞme par croisement avec d’autres sources.
  • Pseudonymisation : Les donnĂ©es restent rĂ©versibles, car les identifiants sont remplacĂ©s par des codes. Une rĂ©identification reste possible si ces codes sont croisĂ©s avec d’autres informations.

    • ⚖️ Absence de conformitĂ© aux règles de la CNIL et Ă  l'article 66 de la loi informatique et libertĂ©

    La société CEGEDIM SANTÉ n’a pas respecté ses obligations légales en matière de protection des données personnelles. Elle n’a pas demandé d’autorisation à la CNIL pour ce traitement, ni déclaré la conformité de celui-ci à un de ses référentiels comme l’exige la loi Informatique et Libertés.

    🚨 Traitement automatisé non conforme

    CEGEDIM SANTÉ collectait automatiquement des donnĂ©es via le tĂ©lĂ©service « HRi » de l’Assurance Maladie, sans permettre aux mĂ©decins de consulter les informations prĂ©alablement. La CNIL a jugĂ© cette pratique illicite.  les mĂ©decins doivent pouvoir consulter les donnĂ©es avant leur utilisation pour garantir que les informations sont correctes, transparentes et utilisĂ©es de manière appropriĂ©e, ce qui n'Ă©tait pas possible dans ce cas.

    🛠️ Comment éviter de telles erreurs avec Mission RGPD ?

    1. Assurez la licéité des traitements 🔧
      Veillez à ce que vos processus respectent les principes de proportionnalité, de minimisation des données et d’information des personnes concernées. Pour informer vos utilisateurs, clients, prospects et même candidats du traitement de leurs données, des modèles à compléter sont disponibles dans l’outil Mission RGPD.

    2. Formez vos équipes à la gestion des données sensibles 📚
      La sensibilisation des équipes est essentielle pour garantir une gestion conforme aux règles en vigueur. Mission RGPD propose des formations adaptées et des outils pratiques pour vous aider. Plusieurs documents de sensibilisation pour vos collaborateurs vous sont fournis par Mission RGPD.

    À bientôt sur Mission RGPD !

    Tom
    Juriste protection des données personnelles - Mission RGPD