Le 7 décembre 2020, la CNIL a prononcé deux sanctions pécuniaires d’un montant de 3 000 € et 6 000 € à l’encontre de deux médecins libéraux pour avoir insuffisamment protégé les données personnelles de leurs patients et ne pas avoir notifié une violation de données à la CNIL.
Suite à un contrôle, la CNIL a constaté que des milliers d’images médicales hébergées sur des serveurs appartenant aux deux médecins étaient librement accessibles sur Internet.
La CNIL a relevé deux manquements :
▪ un manquement à l’obligation de sécurité informatique de la part des deux médecins. En effet ces derniers auraient dû s’assurer que la configuration de leurs réseaux informatiques ne conduisait pas à rendre les données d’imagerie médicale permettant la consultation et le téléchargement d’IRM, scanners, radios, etc., ainsi que les noms, prénoms, date de naissance et date de consultation de près de 7000 patients, librement accessibles sur Internet et auraient également dû procéder au chiffrement systématique des données personnelles hébergées sur leurs serveurs.
▪ un manquement à l’obligation de notifier les violations de données à la CNIL. En effet, les deux médecins n’ont pas effectué ces notifications obligatoires auxquelles ils auraient dû procéder après avoir appris que les images médicales de leurs patients étaient librement accessibles sur Internet.
On peut constater que l’identité des médecins concernés n’a pas été rendue publique, cependant la publicité de cette décision met en lumière l’intention de la CNIL d’alerter et avertir les professionnels de la santé quant à leurs obligations vis-à-vis du Règlement général sur la protection des données (RGPD) et la nécessité de renforcer leur vigilance sur les mesures de sécurité apportées aux données personnelles qu’ils traitent, en choisissant des solutions applicatives présentant le maximum de garanties en termes de sécurité informatique et de protection des données personnelles.