Images médicales non protégées : deux médecins libéraux écopent d'une amende de 3 000 et 6 000 euros

Par

Publié le 18/12/2020

Article réservé aux abonnés

Crédit photo : PHANIE

La Commission nationale de l'informatique et des libertés (CNIL) a prononcé deux sanctions financières à l'encontre de deux médecins libéraux, mi-décembre, pour avoir insuffisamment protégé les données personnelles et de santé de leurs patients.

Dans les deux délibérations publiées au « Journal Officiel » le 7 décembre, les praticiens ont écopé respectivement d'une amende de 3 000 et 6 000 euros pour ces manquements.

Les faits remontent à 2019. La CNIL procède à un contrôle en ligne afin de vérifier le respect du règlement général sur la protection des données (RGPD) d'un logiciel de consultation d’images médicales. Elle découvre que plusieurs milliers d'IRM, scanners, et radios hébergés sur des serveurs appartenant à deux praticiens libéraux sont en accès libre sur Internet.

En plus d'être accessibles, les clichés ne sont pas toujours cryptés et présentent nom, prénom, date de naissance, date de consultation des patients, nom du médecin ayant réalisé l'examen et lieu de l'examen. En tout, pas moins de 2 200 clichés étaient disponibles depuis cinq ans, pour l'un des médecins, et plus de 5 300 séries d'images pendant quatre mois pour le second.

Chiffrement systématique

Pour la CNIL, les médecins concernés ont commis deux erreurs. En premier lieu, ils ont manqué « à l'obligation de sécurité des données traitées » qui leur incombe, lit-on dans l'une des délibérations. « Ils auraient notamment dû s’assurer que la configuration de leurs réseaux informatiques ne conduisait pas à rendre les données librement accessibles sur Internet et procéder au chiffrement systématique des données personnelles hébergées sur leurs serveurs », peut-on lire.

Ensuite, les médecins n'ont pas notifié la violation des données auprès des services compétents de la CNIL, pourtant obligatoire. Le praticien « peut avoir connaissance d’éléments complémentaires relatifs à la violation de données qui méritent d’être communiqués aux services compétents de la CNIL, lesquels ont notamment pour mission de centraliser les différentes violations de données et d’en assurer le suivi afin de prévenir la compromission de données à caractère personnel. Un téléservice est disponible sur le site de la CNIL », rappelle l'instance.

Pour l'exemple ?

Les montants des pénalités ont été déterminés en fonction des revenus des praticiens et de leurs capacités financières. Sur son site, la CNIL explique avoir assuré « la publicité de ces décisions pour alerter les professionnels de la santé sur leurs obligations et la nécessité de renforcer leur vigilance sur les mesures de sécurité apportées aux données personnelles qu’ils traitent ».

Contactée ce vendredi, la Fédération nationale des médecins radiologues (FNMR) déclare au « Quotidien » qu'il s'agit de la première sanction de ce type dans cette spécialité et considère que la CNIL aurait pu être plus clémente avec un rappel à l'ordre.

« Le RGPD est en vigueur depuis deux ans, les radiologues doivent vérifier eux-mêmes la conformité mais souvent ils achètent le PACS [archivage et transmission d'images médicales] et le logiciel à des sociétés extérieures qui le font pour eux, explique le Dr Jean-Philippe Masson, président de la FNMR. Malheureusement toutes ne jouent pas le jeu. Les radiologues sont débordés et privilégient souvent la prise en charge du patient, plutôt que la conformité. » La Fédération souligne que la radiologie se sent particulièrement engagée dans le RGPD, sujet souvent évoqué (comme les risques liés à la cybercriminalité) lors des formations ou en congrès.

Le RGPD est en vigueur depuis 2018. La CNIL a publié conjointement avec l'Ordre des médecins un guide pour aider les médecins à s'y conformer.