Ces deux professionnels de santé ont « insuffisamment protégé les données personnelles de leurs patients », outre oublié d’avoir notifié une violation de données à la commission. « Des milliers d’images médicales hébergées sur des serveurs (…) étaient librement accessibles sur Internet ».
Les deux médecins avaient reconnu que « les violations de données avaient pour origine un mauvais choix de configuration de leur box Internet ainsi qu’un mauvais paramétrage de leur logiciel d’imagerie médicale ». Ces images par ailleurs « n’étaient pas systématiquement chiffrées ».
Manquement à l’obligation de sécurité des données (article 32 du RGPD) et manquement à l’obligation de notifier les violations de données (article 33 du RGPD) sont épinglés dans les délibérations.
« En effet, les deux médecins n’ont pas effectué ces notifications obligatoires auxquelles ils auraient dû procéder après avoir appris que les images médicales de leurs patients étaient librement accessibles sur Internet ».
Les délibérations ont été rendues disponibles sur le site de l’autorité, mais sans que soit révélé le nom des deux professionnels. La CNIL a « souhaité assurer la publicité de ces décisions pour alerter les professionnels de la santé sur leurs obligations et la nécessité de renforcer leur vigilance sur les mesures de sécurité apportées aux données personnelles qu’ils traitent ».
« Cette vigilance doit les conduire à choisir les solutions applicatives présentant le maximum de garanties en termes de sécurité informatique et de protection des données personnelles ».
Commentaires (26)
#1
c’est ça quand on est radiologue et qu’on fait les analyses de radios depuis sa piscine en laissant les techniciens au labo. ^^
et je déconne pas hein, ça a beau être vendredi, c’est pas complètement faux.
de toute manière ils vivent leurs dernières années les radiologues. vont se faire éventrer par l’IA.
#1.1
J’ai l’impression qua ça ressemble plus à un duo de médecin qui s’est imaginer gestionnaire SI pour économiser quelques centaines d’euros par an plutôt qu’autre chose…
Edit : j’aurais du lire les délibération et je ne me suis pas trompé
.
Pour l’un :
et pour l’autre :
#1.2
Je partage cette impression (je suis médecin, donc je sais tout… c’est une blague assez courante dans le milieu médical)
#2
et les pharmacies qui ont stocké et stockent vos données confidentielles, notamment vos prescriptions, sans votre accord ?
#2.1
Tu veux dire les médicaments qui t’ont été prescrits? Si ce sont des médicaments nécessitant une ordonnance, alors le stockage de ton nom, prénom, adresse et prescripteur pendant 10 ans est une obligation légale, tu n’as pas la possibilité de t’y opposer.
#2.2
Les prescriptions médciales scannées sont exigées par la sécu via leur programme SCOR (https://www.sesam-vitale.fr/web/sesam-vitale/scor) car la numérisation des ordonnaces via les médecins n’a pas aboutit (pour des raisons que j’ignore).
Si tu ne veux pas que tes ordonnances soient scannées: ne vient pas avec ta carte vitale, paye les frais des médicaments (avec un chèque à encaisser dans 15 jours si tu veux) et fait les démarches de remboursement au près de ta caisse principale et ta mutuelle.
Le pharmacien aura rempli son travail de professionnel de santé et aura touché ses sous. Tu auras miniser la diffusion de tes données personnelles et découverts les joies des remboursements par les mutuelles.
Pour l’anecdote la sécu pour faire adhérer les médecins à son package, leur donne accès à 1 an de facturation de médicaments (+ d’autres informations), alors qu’entre eux, les pharmaciens se partagent que 4 mois de médicaments via le DP).
#3
Mais personnellement on voit trop certains libéraux se moquer de RGPD puisqu’ils ne seront jamais contrôlés. Pour certains, ce n’est qu’une dépense supplémentaire et rien d’autre. Du coup, ils préfèrent faire l’autruche.
C’est vraiment une bonne nouvelle que la CNIL ait voulu publier ces décisions. Peut être que ça permettra de changer les points de vue sur l’importance du respect du RGPD.
#4
le truc incroyable c’est que c’est à priori des radiologues, donc pas le style de toubib à avoir des problèmes d’argent pour payer un presta.
#5
Je trouve la sentence assez dure. Ça donne vraiment l’impression de vouloir faire un exemple.
Après je n’arrive pas trop à savoir si les deux médecins étaient de mauvaise foi mais ça ressemble plus à une négligence involontaire et un abus de confiance en soi.
Une plus grosse amende avec sursis pour le côté “exemple” et une obligation de sécurisation avec astreinte journalière m’aurai moins choqué.
#5.1
Si je comprends bien, mais ça reste un avis personnel, c’est surtout le manquement à l’obligation de signaler la fuite qui leur vaut une amende salée. S’ils avaient signalé, il auraient reçu une remontrance et une peine symbolique. Mais les deux choses combinées excluent l’erreur de bonne foi.
#5.2
Étonnant, je trouve personnellement la sentence plutôt légère ! 3000€ sur un chiffre d’affaire de radiologie c’est clairement peanuts 🥜
#5.3
À comparer aux 450 000 € contre Twitter qui est autrement plus gros et où près de 90 000 utilisateurs étaient concernés, ce n’est pas déconnant comme amendes.
#5.4
Je suis d’accord, c’est l’amende contre twitter qui est sacrément déconnante ici… les données utilisateurs ne valent vraiment rien, même aux yeux de la justice 😓
#6
Et pendant ce temps-là, google, MS et apple violent le RGPD dans tous ses largesses depuis 2018 et font littéralement des doigts d’honneur à la CNIL, mais pour eux, ça va, on leur dit rien…
Après la justice à deux vitesses, on a droit aux autorités administratives à deux vitesses…
Comment peut-on prendre au sérieux la CNIL une seule seconde quand on voit ça?
Faut pas s’étonner si son financement diminue d’années en années, elle le cherche.
#7
A parce que vous vous traitez l’ensemble des problématiques de votre métier en même temps et tout seul? La justice doit elle rendre une fois l’an des condamnations à tous ceux qui on enfreint la loi l’année courante ?
Certains d’autres pensent que les amendes c’est jammais assez et cela devrait toujours être le maximum. J’espère pour ceux là qu’ils ne commetrons jamais de delis…
#8
Les violations du RGPD de google et consorts sont connues et reconnues par tous et sont d’une ampleur importante, mais la CNIL rechigne à les sanctionner et traine des pieds pour remettre ces sociétés sur les rails, alors même qu’elles sont spécialisées en traitement de données et peuvent se mettre en conformité très rapidement.
Par contre, le médecin du coin qui n’est pas du tout spécialiste et qui a le malheur de faire des erreurs de configuration, la cnil n’hésite pas à lui mettre une amende alors que c’est la seule fois où il s’est trompé et qu’il a corrigé de suite le problème en collaborant entièrement et sans créer d’opposition.
Tu trouves pas qu’il y a un deux poids deux mesures flagrant?
Et surtout quel est le message qu’envoie ici la CNIL:
Comment peut-on prendre au sérieux une administration qui communique ainsi?
#8.1
La CNIL française n’est pas compétente pour le RGPD en ce qui concerne Google ou Amazon et sûrement d’autres puisqu’ils sont établis en Irlande.
Par contre elle a infligé 35 millions d’euros d’amende à Amazon et 100 millions à Google en vertu de la directive ePrivacy. C’est un tout petit peu plus que ce qu’ont à payer ces 2 médecins.
#9
Parceque vous connaissez tous les dossiers étudiés par la CNIL ainsi que leurs etat ? C’est bien beau de dire connus de tous mais pour sanctionner de tels grosses boîtes ils faut des dossiers à la hauteur. Mais si vous avez tous les éléments nécessaires contactez donc la CNIL. Dans la vraie vie plus le poisson est gros plus c’est compliqué d’avoir des dossiers en béton car en face les moyens sont de plusieurs ordres de grandeurs. Tout cela ça prend du temps et n’est pas aussi rapide qu’un post c’est certain.
Et je trouve ça assez truculent de dire qu’il y a 2 poids 2 mesures et de réclamer un traitement particulier parce-que c’est le méchant Google.
#10
Je ne réclame pas de traitement particulier, je réclame que google soit sanctionnée aussi sévèrement et surtout aussi rapidement que ces médecins, plutôt que de ne rien faire à son encontre depuis 2 ans, alors que nombre d’articles et signalements ont mis en évidence les manquements de cette entreprise sur le sujet (celle-ci étant en récidive en plus).
Dans de nombreuses autres décisions passées, la CNIL s’est montrée très clémente, demandant uniquement aux entreprises (pas des PME) de corriger le problème et ne les sanctionnant que si ce n’était pas corrigé après alerte.
Ici, elle n’hésite pas à taper direct sur des médecins, sans aucun avertissement, sans tenir compte du fait que le stockage de données n’est pas leur métier, etc…
II y a clairement une disproportion dans l’application de la sanction à l’égard des médecins
#11
Ce qui me dérange, sans nier la gravité des conséquences, c’est qu’on tape fort sur des médecins qui ont mal parametré une box, mais qu’on en chie à faire respecter le RGPD aux professionnels de la violation intentionnelle de la vie privée.
C’est pas forcément une critique de la CNIL qui fait bien ce qu’elle peut avec ce qu’elle a mais de loin ça fait quand même justice à deux vitesses.
Ça me rappelle un peu big brother Bercy avec des moyens dingues pour scrapper les réseaux sociaux à la recherche de 100 balles non déclarés vs les unités de lutte et d’enquête contre la fraude fiscale internationale qui doivent bosser avec des PC sous XP.
#11.1
Les grosses boites ont des armées d’avocats et de juristes qui cherchent la moindre faille dans les lois pour ne pas se faire condamner.
C’est pour ça que c’est bien plus difficile de les faire condamner.
#12
Il est cependant indiqué qu’ils n’ont pas rapporté la faille. Donc, de un, ils n’ont pas fait “une erreur de débutant” mais deux erreurs majeures. Et donc de deux ils n’ont pas “corrigé de suite le problème en coopérant”, mais ont tenté de le dissimuler.
Et tant qu’on est dans la démesure…. Oui je sais qu’il vous a amputé la jambe droite au lieu de l’appendice, mais bon, c’est un jeune chirurgien, c’est une faute de débutant
#13
« En effet, les deux médecins n’ont pas effectué ces modifications
auxquelles ils auraient dû procéder après avoir appris que les images
médicales de leurs patients étaient librement accessibles sur Internet ».
j’espère qu’ils n’y aura pas d’appel possible ?
“éh franchement, ils ne s’en sortent pas bien” ?
#13.1
mais mais ce sont des gros radins qui veulent pas dépenser 1 euros dans la sécurité, ca doit bien leur faire mal
#14
Totalement d’accord sur le fait que ça reste des amendes très, très modérées : ça ne les met nullement sur la paille (je vous laisse regarder le salaire mensuel moyen d’un radiologue, 6000€ c’est limite de l’argent de poche), et pourtant ça sanctionne quelque chose de grave
Je trouve justement que ça n’incite pas les professionnels de santé à s’inquiéter d’une telle sanction (ils se diront que c’est hyper rare, et que même si ça leur tombe dessus c’est gérable)
#14.1
Les amendes RGPD sont calculées comme un pourcentage sur le chiffre d’affaires. Sais plus combien, quelques pourcents. Je ne sais pas ce qu’il en est pour les particuliers / professions libérales / indépendants mais ça doit être du même ordre de grandeur.
https://www.cnil.fr/fr/definition/sanction