Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

800 000 euros d’amende pour Cegedim qui a traité des données de santé sans autorisation

Le 16 septembre à 11h00

Cegedim santé édite et vend des logiciels de gestion (notamment Maiia, concurrent de Doctolib) utilisés par environ 25 000 cabinets médicaux et 500 centres de santé, explique la CNIL.

Lors de contrôles en 2021, la Commission a découvert que, « dans le cadre de l'utilisation de l'un de ses logiciels, la société avait traité sans autorisation des données de santé non anonymes, transmises à ses clients en vue de produire des études et des statistiques dans le domaine de la santé ».

Via son logiciel, l’entreprise proposait à un panel de médecins d’adhérer à un observatoire : « les données alors collectées sont ensuite utilisées par des clients de la société Cegedim Santé, notamment pour mener des études ». Problème, « ces données n’étaient pas anonymes, mais uniquement pseudonymes, la réidentification des personnes concernées étant techniquement possible ». La situation a durée au moins jusqu’en 2022, date de fin des contrôles.

La CNIL en profite pour placer un rappel important :

« Si les données sont anonymes, alors elles ne sont pas des données personnelles : dans ce cas, la règlementation sur la protection des données n’est pas applicable. À l’inverse, si les données sont pseudonymes, alors la réglementation est applicable ».

La Commission relève deux manquements : la société n’a formulé aucune demande d’autorisation et elle n’a pas adressé à la CNIL une déclaration de conformité. En conséquence, la formation restreinte a prononcé une amende de 800 000 euros à l’encontre de Cegedim Santé.

Sur la publicité (communication publique), le rapporteur de la CNIL considère que c’est « nécessaire au regard de la gravité des manquements en cause et du nombre de personnes concernées. Il estime que la publicité contribuera à informer les personnes concernées de l’existence du traitement de leurs données, y compris de données de santé, dont la grande majorité n’a pas connaissance ».

De son côté Cegedim ne souhaitait pas que cela arrive et a avancé plusieurs contre-arguments, notamment : « la publicité de la délibération lui causerait un préjudice commercial et créerait un risque de divulgation d’informations sur l’hébergement et la transmission des données pouvant porter atteinte à la sécurité des données », mais aussi que « la publicité de la sanction lui ferait encourir un risque réel quant à sa survie et au regard de sa santé financière précaire ».

Arguments balayés par la CNIL : « La formation restreinte considère que la publicité de la présente décision se justifie au regard de la gravité des manquements en cause et du nombre de personnes concernées ».

Le 16 septembre à 11h00

Commentaires (28)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Le seul truc surprenant dans cette news c'est que la CNIL fasse son boulot, pour une fois...
votre avatar
oui mais CEGEDIM c'est une petite boite, la CNIL ne se mouille pas de trop.
votre avatar
J'ai travaillé chez eux et non, ce n'est pas une "petite boite".

J'étais coté RH et on faisait les fiches de paie de beaucoup de grosses boite en France.
votre avatar
J'aime bien la société qui s'oppose au jugement en disant : savoir que l'on a fait des choses illégales nous porte préjudice...
Ben il ne fallait pas faire ces conneries 😈
votre avatar
pour cela il faut être au courant que ce qui est fait est illégal car pour moi la frontière entre pseudonyme et anonyme est ténue.
votre avatar
Perso : je ne vois pas non plus la différence sans lire la suite de l'article

Se payer de bon juristes quand on traite des données sensible coutera toujours moins cher que l'amende.
Vu que "la réidentification des personnes concernées étant techniquement possible", c'est comme s'ils donnaient directement les noms. Donc leur traitement derrière pour mettre des pseudonyme n'a servi à rien.
votre avatar
En même temps, tu es censé avoir un DPO qui sait ce qu'il fait. Surtout quand tu traites des données de santé (PII sensibles par définition)
votre avatar
Sans vouloir défendre Cegedim (j'ai un mauvais passif avec eux en tant qu'hébergeur HDS ^^), la situation est loin d'être aussi simple.

En effet, la CNIL, lorsqu'elle parle de pseudonymisation, parle aussi de "si les personnes concernées pouvaient être réidentifiées par des moyens raisonnables". Le par des moyen raisonnable est très subjectif et est sans doute ici, en parti tout du moins, la source de la divergence d'opinion sur le caractère anonymisé/pseudonymisé des informations traitées.

Si c'est effectivement le rôle du DPO de conseiller et d'être vigilent sur ce genre de mesure, le DPO n'est pas omniscient et s'il fait des erreurs, c'est quand même le responsable de traitement qui est responsable (c'est ce que je reproche au RGPD, l'absence de responsabilité du DPO vis-à-vis de ses avis).

Qui plus est, il faut aussi remettre dans le contexte : ce qui semble aujourd'hui évident, ne l'était pas forcément ne serait-ce qu'hier encore. La jurisprudence était bien plus maigre. Les labélisations RGPD (que ce soit pour les centres de formation ou les personnes) sont arrivées très tardivement.

L'erreur faite ici par CEGEDIM, et qui aurait pu changer complètement la donne, c'est la présence d'un identifiant unique pour le patient par médecin, qui rend très facile la reconstruction d'un parcours de soin. S'il n'y avait pas cet identifiant, la position de CEGEDIM serait beaucoup plus défendable et la décision de la CNIL discutable, même si, vu la teneur des informations, cela n'aurait pas forcément changer grand chose sur le fond.
votre avatar
Cegedim ce n'est pas une petit PME! Ils ont racheté plein de logiciels médicaux!

Je pense ne pas me tromper en disant que c'est un des leaders en France dans l'informatique médical.
fr.wikipedia.org Wikipedia
Si ils ont merdé sur ce sujet c'est qu'ils n'ont pas voulu mettre les ressources techniques et juridiques.
La sanction de la CNIL va remettre du plomb dans tout le secteur.
L'informatique médical est une cible pour les malfrats, actuellement.
votre avatar
Si je comprends bien la différence entre pseudonyme et anonyme est le fait de pouvoir techniquement retrouver le patient. Mais quelle est cette technique ? Doivent il la démontrer ? Car ici c'est toute la base de l'affaire de savoir si oui ou non les données sont anonymes.
votre avatar
Hello, de ce que j'avais compris, la pseudomisation consiste à donner un identifiant unique à un client, et remplacer toute donnée nominative par cet ID.
On envoie ensuite les données pseudomisées à son "partenaire" de stats, comme de l'anonyme (pas de nom pas d'adresse...)
Le hic c'est qu'il y a toujours une table quelque part (chez l'éditeur source au moins) qui dit que theoldscudo c'est l'ID #2322 et ashlol c'est #78818, donc une fois les stats faites, avec un peu d'astuce on retrouve que #2322 qui s'est fait amputer de la tête c'est bien theoldscudo
votre avatar
je vois donc en gros s'ils avaient mis un random au lieu d'un id fixe c'était bon j'ai juste ?
votre avatar
Une explication assez claire ici
votre avatar
Super le lien. Mais en gros, dans le cadre de données médicales, ça veut dire que l'anonymisation des donnés revient à supprimer la majeure partie des données d'intérêt. Pour faire des études épidémiologiques intéressantes, c'est tout de même utile de connaître l'âge, le sexe la date approximative d'une pathologie, la région, les éventuels antécédents familiaux. Bref, si je suis une clinique privée par exemple, ou pire une mutuelle, si j'ai accès à la bdd, je peux reidentifier tous mes patients à posteriori.
Mission impossible donc-> Bases de données de ce type interdites par principe hors concentement explicite ?
votre avatar
Ce que reproche la CNIL c' est
La Commission relève deux manquements : la société n’a formulé aucune demande d’autorisation et elle n’a pas adressé à la CNIL une déclaration de conformité.
votre avatar
Oui, effectivement, je me suis un peu emballé. Si on fait ça dans les règles, ça reste possible.
Une question encore : les entitées publiques sont elles soumises aux mêmes règles ? Si la CPAM ou une ARS lance une étude X ou Y sur ses propres données, potentiellement sous-traitée à un privé ou un organisme de recherche, doit elle obtenir le consentement explicite des usagers du panel sélectionné ?
votre avatar
avec un peu d'astuce on retrouve que #2322 qui s'est fait amputer de la tête c'est bien theoldscudo
Dans Saw, ils s'amputent eux-même... aucune possibilité d'erreur.
votre avatar
32 euros par cabinet médical, rapporté au nombre de patients ça ne représent pas tant que ça comme amende...
votre avatar
2000 praticiens impactés donc 400euros par cabinet,non?
votre avatar
j'ai fait 800000€ / 25000 cabinets médicaux = 32€ par cabinet
votre avatar
c'est que 2000 cabinets seulement (oui Cegedim a plusieurs solution de gestion et seul une est impacté) qui ont été impacté dans l'étude pas tous les cabinets géré par Cegedim.
votre avatar
Maiia c'est la plateforme qui envoie des e-mails de rdv (avec le nom et la spécialité du médecin) aux gens qui ne l'ont pas pris. Une fois j'ai réussi à avoir une secrétaire au téléphone pour lui demander des explications, elle m'a répondu d'un ton hilare "ah oui c'est une rdv pour une personne qui a le même nom que vous !"
Voilà comment elle traite les données personnelles : elle ne vérifie même pas le prénom ou la date de naissance du patient...
votre avatar
Avec la généralisation de l'Identifiant National de Santé(INS), ce genre d'incidents devrait fortement diminuer.

Après, c'est exemple montre que dans leur processus de prise de RDV (via téléphone, ou web) il y a un gros écueil!!

Quand je songe à ma mutuelle qui me demande nom, prénom, date de naissance, adresse etc pour bien m'identifier (vous avez pas mon numéro de téléphone qui s'affiche sur votre standard?) 🤬

Mon conseil pour cette secrétaire : se farcir 3 mois de rangements d'archives médicales chez des libéraux. Elle va vite comprendre le problème des homonymes !
votre avatar
En même temps quand on s’inscrit, on ne met pas la date de naissance,non? juste email, telephone, nom et prenom don avec ca pour trouver les homonyme c'est juste.
votre avatar
Quand tu as reçu des soins, tu as utilisé ta carte vitale, donc le système est censé donner cette info.
Et si ce n'est la date de naissance, il suffit de vérifier les premiers numéros de la carte vitale pour éviter de se tromper de personne...
votre avatar
Alors non, car le praticien quand tu t'inscris et prend un RDV sur le site docto ou maiia ne recoit que N° de tel et nom et prenom. A part que ces sites demandent de saisir la date de naissance ou le matricule assuré lors de l'inscription (qu'ils ne feront pas pour cause de sécurité et identification (cf probleme docto qui a defrayé la chronique il y a quelque temps)).
le praticien par la suite à ta première visite est censé associé le patient du RDV au patient de son dossier de soin dans sa solution de gestion médicale.
Comme cela a l'avenir il connait le patient du RDV par son dossier de soin.

On retombe toujours sur traçabilité/anonymisation. Actuellement les solution d'agenda et de prise de rendez-vous sont décorrélé des solution de gestion médicale pour évité justement que si une faille cote RDV ne permette de remonté les info coté médical.
votre avatar
Je ne comprends pas comment un médecin peut donner son accord pour remonter les données des patients sans que les patients soient informés de quoi que ce soit. Et je ne vois pas comment les patients concernés peuvent savoir s'ils font partie de ce partage de données.
L'adhésion à l'observatoire se fait contre paiement (ou ristourne) ?
votre avatar
Car le médecin n'a pas compris un paragraphe dans les 22 pages du contrat qui le lie à son éditeur de logiciel métier.

Il doit le faire, mais il ne le sait pas (son truc c'est la santé, pas le droit).

Ce n'est pas la première fois qu'un professionnel de santé collecte des données sur ses patients à son corps défendant:
next.ink Next

Pas sur qu'il y ait un paiement, en tous cas la somme est sûrement faible

800 000 euros d’amende pour Cegedim qui a traité des données de santé sans autorisation

Fermer