Deux médecins mis à l’amende par la CNIL pour avoir mal protégé les données de leurs patients
La CNIL a annoncé sur son site le 17 décembre avoir prononcé le 7 décembre deux amendes de 3 000 € et 6 000 € à l’encontre de deux médecins libéraux pour avoir insuffisamment protégé les données personnelles de leurs patients et ne pas avoir notifié cette violation de données à la CNIL.
Si le nom des médecins n’est pas cité, la CNIL a décidé de donner pour l’exemple de la publicité à ces deux affaires assez semblables.
Histoire de rappeler au corps médical que le non respect du RGPD (règlement général sur la protection des données) peut leur coûter cher…
Tout commence par le signalement par un site Web (suite à une enquête d’une société de sécurité informatique, pour l’un des cas) du libre accès sur Internet d’images médicales accompagnées des noms, prénoms, date de naissance, date des examens des patients, nom du médecin référent, nom de l’établissement.
La CNIL réalise alors des contrôles en ligne en septembre 2019 et constate que des milliers d’images médicales (IRM, radios, scans) sont bien accessibles sur le Web pour consultation et téléchargement avec un simple logiciel d’imagerie médicale.
Les adresses IP des serveurs, situés en France, sont repérées et les fournisseurs d’accès à Internet communiquent à la CNIL l’identité des responsables du traitement.
Les deux médecins en cause sont avertis début octobre par courriel de ces manquements à la sécurité des données. Ils réagissent aussitôt assurant l’un comme l’autre avoir mis fin à cette violation.
Des paramétrages "maison" pour accéder à distance aux images
Lors des auditions de contrôle, les médecins ont reconnu que ces manquements avaient pour origine un mauvais choix de configuration de leur box Internet ainsi qu’un mauvais paramétrage de leur logiciel d’imagerie médicale.
Pour l’un, qui utilise trois ordinateurs portables et un fixe au domicile, il s’agissait de rassembler sur un disque dur l’ensemble des examens (5300 séries d’image) pour pouvoir y accéder à distance. Il a donc ouvert les ports réseaux de la box Internet de son domicile qui était couplée au paramétrage de la fonction serveur de son logiciel d’imagerie, de façon à faire fonctionner le VPN. Astucieux mais pas très sécurisé. Et comme en plus il ne chiffrait pas les données de ses ordinateurs…
Les images n’ont été exposées que pendant 4 mois.
Alerté par les enquêteurs de la CNIL il a désactivé la fonction serveur du logiciel et bloqué les ports non utiles sur le LiveBox.
Quant au deuxième médecin, il a expliqué avoir paramétré en 2015 son logiciel d’imagerie pour pouvoir transférer automatiquement des images de son appareil de radiologie vers la base de données de son logiciel d’imagerie hébergé dans son cabinet et accéder aux images à distance. Résultat : 1200 séries d'images exposées pendant cinq ans.
Le praticien a souligné que le paramétrage de la box Internet qui sert de routeur à son matériel informatique a été effectué par des prestataires extérieurs au cabinet. mais n’ayant pas conservé de compte -rendu de ces interventions, il n’a pu en apporter la preuve. Alerté il a fait supprimer ce PACS logiciel et a fait procéder par une société au chiffrement du disque dur et à la certification SSL du serveur Web.
Des amendes de 3000 et 6000 euros
Sur la base de ces éléments, la formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a relevé que les deux médecins s’étaient affranchis des principes élémentaires en matière de sécurité informatique. Elle a retenu un manquement à l’obligation de sécurité des données (article 32 du RGPD), considérant qu’ils auraient dû s’assurer que la configuration de leurs réseaux informatiques ne conduisait pas à rendre les données librement accessibles sur Internet et procéder au chiffrement systématique des données personnelles hébergées sur leurs serveurs.
La formation restreinte a également retenu un manquement à l’obligation de notifier les violations de données à la CNIL (article 33 du RGPD). En effet, les deux médecins, auraient dû prévenir prévenir la CNIL. Le fait que ce soit un service de la CNIL qui les a alertés ne les dispense pas de cette obligation. Mieux vaut le savoir.
La publicité donnée à ces décisions avec publication sur Legifrance, aura pour effet, espère la CNIL, de rappeler aux professionnels de la santé leurs obligations et la nécessité de renforcer leur vigilance sur les mesures de sécurité apportées aux données personnelles qu’ils traitent. En choisissant des solutions présentant le maximum de garanties en termes de sécurité informatique et de protection des données personnelles. Elle doit également les inciter à la prudence au moment de l’élaboration et du paramétrage de leur système informatique interne, en s’entourant si nécessaire de prestataires compétents en la matière.(et ajoute Buzz Medecin en gardant les factures et les comptes-rendus ).
