800 000 euros d’amende pour Cegedim qui a traité des données de santé sans autorisation

Par Sébastien Gavois

Le 16 septembre à 11h00
Droit
3 min

Cegedim santé édite et vend des logiciels de gestion (notamment Maiia, concurrent de Doctolib) utilisés par environ 25 000 cabinets médicaux et 500 centres de santé, explique la CNIL.

Lors de contrôles en 2021, la Commission a découvert que, « dans le cadre de l'utilisation de l'un de ses logiciels, la société avait traité sans autorisation des données de santé non anonymes, transmises à ses clients en vue de produire des études et des statistiques dans le domaine de la santé ».

Via son logiciel, l’entreprise proposait à un panel de médecins d’adhérer à un observatoire : « les données alors collectées sont ensuite utilisées par des clients de la société Cegedim Santé, notamment pour mener des études ». Problème, « ces données n’étaient pas anonymes, mais uniquement pseudonymes, la réidentification des personnes concernées étant techniquement possible ». La situation a durée au moins jusqu’en 2022, date de fin des contrôles.

La CNIL en profite pour placer un rappel important :

« Si les données sont anonymes, alors elles ne sont pas des données personnelles : dans ce cas, la règlementation sur la protection des données n’est pas applicable. À l’inverse, si les données sont pseudonymes, alors la réglementation est applicable ».

La Commission relève deux manquements : la société n’a formulé aucune demande d’autorisation et elle n’a pas adressé à la CNIL une déclaration de conformité. En conséquence, la formation restreinte a prononcé une amende de 800 000 euros à l’encontre de Cegedim Santé.

Sur la publicité (communication publique), le rapporteur de la CNIL considère que c’est « nécessaire au regard de la gravité des manquements en cause et du nombre de personnes concernées. Il estime que la publicité contribuera à informer les personnes concernées de l’existence du traitement de leurs données, y compris de données de santé, dont la grande majorité n’a pas connaissance ».

De son côté Cegedim ne souhaitait pas que cela arrive et a avancé plusieurs contre-arguments, notamment : « la publicité de la délibération lui causerait un préjudice commercial et créerait un risque de divulgation d’informations sur l’hébergement et la transmission des données pouvant porter atteinte à la sécurité des données », mais aussi que « la publicité de la sanction lui ferait encourir un risque réel quant à sa survie et au regard de sa santé financière précaire ».

Arguments balayés par la CNIL : « La formation restreinte considère que la publicité de la présente décision se justifie au regard de la gravité des manquements en cause et du nombre de personnes concernées ».

Commentaires (26)


Freeben666 Abonné
Le 16/09/2024 à 11h32
Le seul truc surprenant dans cette news c'est que la CNIL fasse son boulot, pour une fois...
meyrand018 Abonné
Le 16/09/2024 à 11h43
oui mais CEGEDIM c'est une petite boite, la CNIL ne se mouille pas de trop.
honyme
Le 16/09/2024 à 18h13

meyrand018

oui mais CEGEDIM c'est une petite boite, la CNIL ne se mouille pas de trop.
J'ai travaillé chez eux et non, ce n'est pas une "petite boite".

J'étais coté RH et on faisait les fiches de paie de beaucoup de grosses boite en France.
ecatomb Abonné
Le 16/09/2024 à 11h37
J'aime bien la société qui s'oppose au jugement en disant : savoir que l'on a fait des choses illégales nous porte préjudice...
Ben il ne fallait pas faire ces conneries 😈
ashlol Abonné
Le 16/09/2024 à 11h43
pour cela il faut être au courant que ce qui est fait est illégal car pour moi la frontière entre pseudonyme et anonyme est ténue.
ecatomb Abonné
Le 16/09/2024 à 12h44

ashlol

pour cela il faut être au courant que ce qui est fait est illégal car pour moi la frontière entre pseudonyme et anonyme est ténue.
Perso : je ne vois pas non plus la différence sans lire la suite de l'article

Se payer de bon juristes quand on traite des données sensible coutera toujours moins cher que l'amende.
Vu que "la réidentification des personnes concernées étant techniquement possible", c'est comme s'ils donnaient directement les noms. Donc leur traitement derrière pour mettre des pseudonyme n'a servi à rien.
Modifié le 16/09/2024 à 12h45

Historique des modifications :

Posté le 16/09/2024 à 12h44


Se payer de bon juristes quand on traite des données sensible coutera toujours moins cher que l'amende.
Vu que "la réidentification des personnes concernées étant techniquement possible", c'est comme s'ils donnaient directement les noms. Donc leur traitement derrière pour mettre des pseudonyme n'a servi à rien.

Freeben666 Abonné
Le 16/09/2024 à 13h46

ecatomb

Perso : je ne vois pas non plus la différence sans lire la suite de l'article

Se payer de bon juristes quand on traite des données sensible coutera toujours moins cher que l'amende.
Vu que "la réidentification des personnes concernées étant techniquement possible", c'est comme s'ils donnaient directement les noms. Donc leur traitement derrière pour mettre des pseudonyme n'a servi à rien.
En même temps, tu es censé avoir un DPO qui sait ce qu'il fait. Surtout quand tu traites des données de santé (PII sensibles par définition)
fdorin Abonné
Le 16/09/2024 à 14h37

Freeben666

En même temps, tu es censé avoir un DPO qui sait ce qu'il fait. Surtout quand tu traites des données de santé (PII sensibles par définition)
Sans vouloir défendre Cegedim (j'ai un mauvais passif avec eux en tant qu'hébergeur HDS ^^), la situation est loin d'être aussi simple.

En effet, la CNIL, lorsqu'elle parle de pseudonymisation, parle aussi de "si les personnes concernées pouvaient être réidentifiées par des moyens raisonnables". Le par des moyen raisonnable est très subjectif et est sans doute ici, en parti tout du moins, la source de la divergence d'opinion sur le caractère anonymisé/pseudonymisé des informations traitées.

Si c'est effectivement le rôle du DPO de conseiller et d'être vigilent sur ce genre de mesure, le DPO n'est pas omniscient et s'il fait des erreurs, c'est quand même le responsable de traitement qui est responsable (c'est ce que je reproche au RGPD, l'absence de responsabilité du DPO vis-à-vis de ses avis).

Qui plus est, il faut aussi remettre dans le contexte : ce qui semble aujourd'hui évident, ne l'était pas forcément ne serait-ce qu'hier encore. La jurisprudence était bien plus maigre. Les labélisations RGPD (que ce soit pour les centres de formation ou les personnes) sont arrivées très tardivement.

L'erreur faite ici par CEGEDIM, et qui aurait pu changer complètement la donne, c'est la présence d'un identifiant unique pour le patient par médecin, qui rend très facile la reconstruction d'un parcours de soin. S'il n'y avait pas cet identifiant, la position de CEGEDIM serait beaucoup plus défendable et la décision de la CNIL discutable, même si, vu la teneur des informations, cela n'aurait pas forcément changer grand chose sur le fond.



Modifié le 16/09/2024 à 15h31

Historique des modifications :

Posté le 16/09/2024 à 14h37


Sans vouloir défendre Cegedim (j'ai un mauvais passif avec eux en tant qu'hébergeur HDS ^^), la situation est loin d'être aussi simple.

En effet, la CNIL, lorsqu'elle parle de pseudonymisation, parle aussi de "si les personnes concernées pouvaient être réidentifiées par des moyens raisonnables". Le par des moyen raisonnable est très subjectif et est sans doute ici, en parti tout du moins, la source de la divergence d'opinion sur le caractère anonymisé/pseudonymisé des informations traitées.

Si c'est effectivement le rôle du DPO de conseiller et d'être vigilent sur ce genre de mesure, le DPO n'est pas omniscient et s'il fait des erreurs, c'est quand même le responsable de traitement qui est responsable (c'est ce que je reproche au RGPD, l'absence de responsabilité du DPO vis-à-vis de ses avis).

Qui plus ait, il faut aussi remettre dans le contexte : ce qui semble aujourd'hui évident, ne l'était pas forcément ne serait-ce qu'hier encore. La jurisprudence était bien plus maigre. Les labélisations RGPD (que ce soit pour les centres de formation ou les personnes) sont arrivées très tardivement.

L'erreur faite ici par CEGEDIM, et qui aurait pu changer complètement la donne, c'est la présence d'un identifiant unique pour le patient par médecin, qui rend très facile la reconstruction d'un parcours de soin. S'il n'y avait pas cet identifiant, la position de CEGEDIM serait beaucoup plus défendable et la décision de la CNIL discutable, même si, vu la teneur des informations, cela n'aurait pas forcément changer grand chose sur le fond.



Soriatane Abonné
Le 16/09/2024 à 14h12

ashlol

pour cela il faut être au courant que ce qui est fait est illégal car pour moi la frontière entre pseudonyme et anonyme est ténue.
Cegedim ce n'est pas une petit PME! Ils ont racheté plein de logiciels médicaux!

Je pense ne pas me tromper en disant que c'est un des leaders en France dans l'informatique médical.
https://fr.wikipedia.org/wiki/Cegedim
Si ils ont merdé sur ce sujet c'est qu'ils n'ont pas voulu mettre les ressources techniques et juridiques.
La sanction de la CNIL va remettre du plomb dans tout le secteur.
L'informatique médical est une cible pour les malfrats, actuellement.
Modifié le 16/09/2024 à 14h13

Historique des modifications :

Posté le 16/09/2024 à 14h12


Cegedim ce n'est pas une petit PME! Ils ont racheté plein de logiciels médicaux.!

Je pense ne pas me tromper en disant que c'est un des leaders en France dans l'informatique médical.
https://fr.wikipedia.org/wiki/Cegedim
Si ils ont merdé sur ce sujet c'est qu'ils n'ont pas voulu mettre les ressources techniques et juridiques.
La sanction de la CNIL va remettre du plomb dans tous le secteur.
L'informatique médical est une cible pour les malfrats, actuellement.

Posté le 16/09/2024 à 14h12


Cegedim ce n'est pas une petit PME! Ils ont racheté plein de logiciels médicaux!

Je pense ne pas me tromper en disant que c'est un des leaders en France dans l'informatique médical.
https://fr.wikipedia.org/wiki/Cegedim
Si ils ont merdé sur ce sujet c'est qu'ils n'ont pas voulu mettre les ressources techniques et juridiques.
La sanction de la CNIL va remettre du plomb dans tous le secteur.
L'informatique médical est une cible pour les malfrats, actuellement.

ashlol Abonné
Le 16/09/2024 à 11h39
Si je comprends bien la différence entre pseudonyme et anonyme est le fait de pouvoir techniquement retrouver le patient. Mais quelle est cette technique ? Doivent il la démontrer ? Car ici c'est toute la base de l'affaire de savoir si oui ou non les données sont anonymes.
theoldscudo Abonné
Le 16/09/2024 à 11h49
Hello, de ce que j'avais compris, la pseudomisation consiste à donner un identifiant unique à un client, et remplacer toute donnée nominative par cet ID.
On envoie ensuite les données pseudomisées à son "partenaire" de stats, comme de l'anonyme (pas de nom pas d'adresse...)
Le hic c'est qu'il y a toujours une table quelque part (chez l'éditeur source au moins) qui dit que theoldscudo c'est l'ID #2322 et ashlol c'est #78818, donc une fois les stats faites, avec un peu d'astuce on retrouve que #2322 qui s'est fait amputer de la tête c'est bien theoldscudo
ashlol Abonné
Le 16/09/2024 à 12h08

theoldscudo

Hello, de ce que j'avais compris, la pseudomisation consiste à donner un identifiant unique à un client, et remplacer toute donnée nominative par cet ID.
On envoie ensuite les données pseudomisées à son "partenaire" de stats, comme de l'anonyme (pas de nom pas d'adresse...)
Le hic c'est qu'il y a toujours une table quelque part (chez l'éditeur source au moins) qui dit que theoldscudo c'est l'ID #2322 et ashlol c'est #78818, donc une fois les stats faites, avec un peu d'astuce on retrouve que #2322 qui s'est fait amputer de la tête c'est bien theoldscudo
je vois donc en gros s'ils avaient mis un random au lieu d'un id fixe c'était bon j'ai juste ?
De Compet Abonné
Le 16/09/2024 à 12h14

theoldscudo

Hello, de ce que j'avais compris, la pseudomisation consiste à donner un identifiant unique à un client, et remplacer toute donnée nominative par cet ID.
On envoie ensuite les données pseudomisées à son "partenaire" de stats, comme de l'anonyme (pas de nom pas d'adresse...)
Le hic c'est qu'il y a toujours une table quelque part (chez l'éditeur source au moins) qui dit que theoldscudo c'est l'ID #2322 et ashlol c'est #78818, donc une fois les stats faites, avec un peu d'astuce on retrouve que #2322 qui s'est fait amputer de la tête c'est bien theoldscudo
Une explication assez claire ici
ImpactID Abonné
Le 16/09/2024 à 16h31

De Compet

Une explication assez claire ici
Super le lien. Mais en gros, dans le cadre de données médicales, ça veut dire que l'anonymisation des donnés revient à supprimer la majeure partie des données d'intérêt. Pour faire des études épidémiologiques intéressantes, c'est tout de même utile de connaître l'âge, le sexe la date approximative d'une pathologie, la région, les éventuels antécédents familiaux. Bref, si je suis une clinique privée par exemple, ou pire une mutuelle, si j'ai accès à la bdd, je peux reidentifier tous mes patients à posteriori.
Mission impossible donc-> Bases de données de ce type interdites par principe hors concentement explicite ?
De Compet Abonné
Le 16/09/2024 à 19h08

ImpactID

Super le lien. Mais en gros, dans le cadre de données médicales, ça veut dire que l'anonymisation des donnés revient à supprimer la majeure partie des données d'intérêt. Pour faire des études épidémiologiques intéressantes, c'est tout de même utile de connaître l'âge, le sexe la date approximative d'une pathologie, la région, les éventuels antécédents familiaux. Bref, si je suis une clinique privée par exemple, ou pire une mutuelle, si j'ai accès à la bdd, je peux reidentifier tous mes patients à posteriori.
Mission impossible donc-> Bases de données de ce type interdites par principe hors concentement explicite ?
Ce que reproche la CNIL c' est
La Commission relève deux manquements : la société n’a formulé aucune demande d’autorisation et elle n’a pas adressé à la CNIL une déclaration de conformité.
ImpactID Abonné
Le 16/09/2024 à 20h08

De Compet

Ce que reproche la CNIL c' est
La Commission relève deux manquements : la société n’a formulé aucune demande d’autorisation et elle n’a pas adressé à la CNIL une déclaration de conformité.
Oui, effectivement, je me suis un peu emballé. Si on fait ça dans les règles, ça reste possible.
Une question encore : les entitées publiques sont elles soumises aux mêmes règles ? Si la CPAM ou une ARS lance une étude X ou Y sur ses propres données, potentiellement sous-traitée à un privé ou un organisme de recherche, doit elle obtenir le consentement explicite des usagers du panel sélectionné ?
Timanu69
Le 16/09/2024 à 14h19

theoldscudo

Hello, de ce que j'avais compris, la pseudomisation consiste à donner un identifiant unique à un client, et remplacer toute donnée nominative par cet ID.
On envoie ensuite les données pseudomisées à son "partenaire" de stats, comme de l'anonyme (pas de nom pas d'adresse...)
Le hic c'est qu'il y a toujours une table quelque part (chez l'éditeur source au moins) qui dit que theoldscudo c'est l'ID #2322 et ashlol c'est #78818, donc une fois les stats faites, avec un peu d'astuce on retrouve que #2322 qui s'est fait amputer de la tête c'est bien theoldscudo
avec un peu d'astuce on retrouve que #2322 qui s'est fait amputer de la tête c'est bien theoldscudo

Dans Saw, ils s'amputent eux-même... aucune possibilité d'erreur.
vince120 Abonné
Le 16/09/2024 à 11h41
32 euros par cabinet médical, rapporté au nombre de patients ça ne représent pas tant que ça comme amende...
Yod4z Abonné
Le 16/09/2024 à 22h23
2000 praticiens impactés donc 400euros par cabinet,non?
Jarodd Abonné
Le 16/09/2024 à 12h45
Maiia c'est la plateforme qui envoie des e-mails de rdv (avec le nom et la spécialité du médecin) aux gens qui ne l'ont pas pris. Une fois j'ai réussi à avoir une secrétaire au téléphone pour lui demander des explications, elle m'a répondu d'un ton hilare "ah oui c'est une rdv pour une personne qui a le même nom que vous !"
Voilà comment elle traite les données personnelles : elle ne vérifie même pas le prénom ou la date de naissance du patient...
Soriatane Abonné
Le 16/09/2024 à 13h19
Avec la généralisation de l'Identifiant National de Santé(INS), ce genre d'incidents devrait fortement diminuer.

Après, c'est exemple montre que dans leur processus de prise de RDV (via téléphone, ou web) il y a un gros écueil!!

Quand je songe à ma mutuelle qui me demande nom, prénom, date de naissance, adresse etc pour bien m'identifier (vous avez pas mon numéro de téléphone qui s'affiche sur votre standard?) 🤬

Mon conseil pour cette secrétaire : se farcir 3 mois de rangements d'archives médicales chez des libéraux. Elle va vite comprendre le problème des homonymes !
Yod4z Abonné
Le 16/09/2024 à 22h25
En même temps quand on s’inscrit, on ne met pas la date de naissance,non? juste email, telephone, nom et prenom don avec ca pour trouver les homonyme c'est juste.
Jarodd Abonné
Hier à 09h10

Yod4z

En même temps quand on s’inscrit, on ne met pas la date de naissance,non? juste email, telephone, nom et prenom don avec ca pour trouver les homonyme c'est juste.
Quand tu as reçu des soins, tu as utilisé ta carte vitale, donc le système est censé donner cette info.
Et si ce n'est la date de naissance, il suffit de vérifier les premiers numéros de la carte vitale pour éviter de se tromper de personne...
Yod4z Abonné
Hier à 11h58

Jarodd

Quand tu as reçu des soins, tu as utilisé ta carte vitale, donc le système est censé donner cette info.
Et si ce n'est la date de naissance, il suffit de vérifier les premiers numéros de la carte vitale pour éviter de se tromper de personne...
Alors non, car le praticien quand tu t'inscris et prend un RDV sur le site docto ou maiia ne recoit que N° de tel et nom et prenom. A part que ces sites demandent de saisir la date de naissance ou le matricule assuré lors de l'inscription (qu'ils ne feront pas pour cause de sécurité et identification (cf probleme docto qui a defrayé la chronique il y a quelque temps)).
le praticien par la suite à ta première visite est censé associé le patient du RDV au patient de son dossier de soin dans sa solution de gestion médicale.
Comme cela a l'avenir il connait le patient du RDV par son dossier de soin.

On retombe toujours sur traçabilité/anonymisation. Actuellement les solution d'agenda et de prise de rendez-vous sont décorrélé des solution de gestion médicale pour évité justement que si une faille cote RDV ne permette de remonté les info coté médical.
Modifié le 17/09/2024 à 12h00

Historique des modifications :

Posté le 17/09/2024 à 11h58


Alors non, car le praticien quand tu t'inscris et prend un RDV sur le site docto ou maiia ne recoit que N° de tel et nom et prenom. A part que ces sites demandent de saisir la date de naissance ou le matricule assuré lors de l'inscription (qu'ils ne feront pas pour cause de sécurité et identification (cf probleme docto qui a defrayé la chronique il y a quelque temps)).
le praticien par la suite à ta premiere visite est censé associé le patient du RDV au patient de son dossier de soin dans sa solution de gestion médicale.
Comme cela a l'avenir il connait le patient du RDV par son dossier de soin.

Gamble
Le 16/09/2024 à 15h19
Je ne comprends pas comment un médecin peut donner son accord pour remonter les données des patients sans que les patients soient informés de quoi que ce soit. Et je ne vois pas comment les patients concernés peuvent savoir s'ils font partie de ce partage de données.
L'adhésion à l'observatoire se fait contre paiement (ou ristourne) ?
Soriatane Abonné
Hier à 05h04
Car le médecin n'a pas compris un paragraphe dans les 22 pages du contrat qui le lie à son éditeur de logiciel métier.

Il doit le faire, mais il ne le sait pas (son truc c'est la santé, pas le droit).

Ce n'est pas la première fois qu'un professionnel de santé collecte des données sur ses patients à son corps défendant:
https://next.ink/5333/donnees-pharmacies-et-iqvia-cnil-sexplique-et-va-mener-controles/

Pas sur qu'il y ait un paiement, en tous cas la somme est sûrement faible
Modifié le 17/09/2024 à 05h05

Historique des modifications :

Posté le 17/09/2024 à 05h04


Car le médecin n'a pas compris un paragraphe dans les 22 pages du contrat qui le lie à son éditeur de logiciel métier.

Il doit le faire, mais il ne le sait pas (son truc c'est la santé, pas le droit).

Ce n'est pas la première fois qu'un professionnel collecte des données sur ses patients à son corps défendant:
https://next.ink/5333/donnees-pharmacies-et-iqvia-cnil-sexplique-et-va-mener-controles/

Pas sur qu'il y ait un paiement, en tous cas la somme est sûrement faible

Fermer