Sécurité informatique : la CNIL sanctionne deux médecins libéraux de 3000 et 6000 € d'amende
En septembre 2019, la CNIL a pu constater que des milliers d’images médicales hébergées sur des serveurs appartenant à deux médecins libéraux étaient librement accessibles sur Internet.
Si les médecins interrogés ont reconnu leurs torts à savoir un mauvais paramétrage de leur box Internet ainsi qu’un mauvais paramétrage de leur logiciel d’imagerie médicale, la CNIL a également constaté que les images médicales n’étaient pas systématiquement chiffrées.
Concrètement, les médecins avaient non seulement activé la fonction serveur de leur logiciel d’imagerie, mais ils avaient également laissé les ports de la box ouverts pendant que le disque dur amovible sur lequel était stockées en clair les images des patients était connecté de façon permanente.
Si un des deux médecins avait préféré configurer lui-même son logiciel d’imagerie et son réseau interne plutôt que d’en confier le soin à un prestataire expert, le second a assuré avoir délégué cette tâche à un professionnel, mais n’a pu en faire la preuve.
Disposer de données médicales non chiffrées sur son ordinateur est sanctionnable par la CNIL
Les médecins n’avaient pas non plus jugé bon de chiffrer les images des patients sur leur ordinateur portable, « estimant que le chiffrement ralentit trop l’exécution des applications (dossier médical, outil de visualisation des images ». Autre circonstance aggravante pour la CNIL, d’autres données personnelles étaient également accessibles en clair comme les noms, prénoms et date de naissance du patient, la date de réalisation de l’examen, le nom du praticien référent et du praticien ayant réalisé l’examen et le nom de l’établissement dans lequel l’examen a eu lieu.
La CNIL rappelle que « En l’absence de chiffrement, les données médicales contenues dans le disque dur de cet ordinateur étaient lisibles en clair par toute personne prenant possession de cet appareil (par exemple, à la suite de sa perte ou de son vol) ou par toute personne s’introduisant de manière indue sur le réseau auquel cet ordinateur était raccordé.
La CNIL recommande de prévoir des moyens de chiffrement des postes nomades et supports de stockage mobiles (ordinateur portable, clés USB, disque dur externe, CD-R, DVD-RW, etc.), par exemple via le chiffrement du disque dur dans sa totalité lorsque le système d’exploitation le propose, le chiffrement fichier par fichier ou la création de conteneurs (fichier susceptible de contenir plusieurs fichiers) chiffrés. De même, le Guide pratique pour les médecins invite les médecins à procéder au chiffrement des données de leurs patients avec un logiciel adapté.
Faute avouée, pleinement sanctionnée
Pour justifier le montant des amendes prononcées, la CNIL explique que les médecins se sont bel et bien affranchis des principes élémentaires de sécurité informatique.
Elle a retenu un manquement à l’obligation de sécurité des données (article 32 du RGPD), considérant qu’ils auraient notamment dû s’assurer que la configuration de leurs réseaux informatiques ne conduisait pas à rendre les données librement accessibles sur Internet et procéder au chiffrement systématique des données personnelles hébergées sur leurs serveurs.
Elle a également retenu un manquement à l’obligation de notifier les violations de données à la CNIL (article 33 du RGPD). En effet, les deux médecins n’ont pas effectué ces notifications obligatoires auxquelles ils auraient dû procéder après avoir appris que les images médicales de leurs patients étaient librement accessibles sur Internet, et ce même si ce sont les services de contrôle de la CNIL qui ont porté à l’attention des médecins l’existence de la violation des données.
“le responsable de traitement doit, en toute circonstance, respecter l’exigence de notification prévue à l’article 33 du Règlement à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. La circonstance que la violation de données avait été portée à la connaissance de M. […] par le service des contrôles de la CNIL ne le déchargeait pas de cette obligation.”
Si les noms des médecins n’ont pas été dévoilés par la CNIL, elle a tenu à faire la publicité de ces décisions pour alerter les professionnels de la santé sur leurs obligations et la nécessité de renforcer leur vigilance sur les mesures de sécurité apportées aux données personnelles qu’ils traitent.
Pour en savoir plus sur ce thème
Descripteur MESH : Médecins , Patients , Internet , Logiciel , Sécurité , Réseau , Conseil , Noms , Risque , Connaissance , Sécurité informatique , Informatique , Personnes , Santé , Cabinets médicaux , Mesures de sécurité
Pratique médicale: Les +
Une différence de tension artérielle entre les deux bras est corrélée à un risque plus important de crise cardiaque, d’AVC et de décès
Freinage intempestif ou rupture du frein : plus de peur que de mal
L'éosine est un colorant et c'est tout !
Les impacts du stress chronique et du burnout sur le cerveau
Bien penser son cabinet médical
L'hypertension matinale qui menace la santé peut désormais être détectée avec le nouveau moniteur de pression artérielle numérique automatique Omron M10-IT
Atlas de la démographie médicale 2023 : la profession de médecin face à une crise d'attractivité selon le CNOM
L’accès à l’imagerie au cours des urgences : analyse de l'enquête nationale
Paiement forfaitaire vs paiement à l'acte : le Peps sème la zizanie entre médecins salariés et libéraux
Fausse couche : quels impacts psychologiques sur la femme et le couple ?
Le fardeau des 59 heures : une enquête révèle l'ampleur de la surexploitation des internes en médecine
6h35 : les nuits courtes et agitées des professionnels de santé
Surpoids et obésité : la HAS complète ses recommandations
L’activité physique, un traitement à part entière de la dépression ?
Pourquoi de plus en plus de professionnels de santé suivent et recommandent lescoursdejulie.com ?
Un interne condamné à 15 mois de prison avec sursis
Paiement forfaitaire vs paiement à l'acte : le Peps sème la zizanie entre médecins salariés et libéraux
Analyse et retour d’expérience sur le paiement en équipe de professionnels de santé (Peps) dans 16 centres de santé
Cancer du sein : le soja, l'enterolactone et le thé vert pourraient réduire les risques de récidive et de décès
ENDOTEST : La HAS entrouvre la porte à un remboursement
Covid19: l’AMUF encourage les médecins à proposer le traitement à base de chloroquine du Pr Raoult
Hydroxychloroquine : le Pr Raoult assigne l’ANSM et son directeur devant les tribunaux #HCQ #COVID19
#COVID-19 : l’équipe du Pr Raoult généralise le traitement à base de chloroquine à tous les patients positifs au coronavirus
Encadrement des prescriptions du traitement à la #chloroquine du Pr Raoult, un scandale d’état ?
#COVID19 : Un médecin américain aurait traité avec succès plus de 500 patients avec l’hydroxychloroquine
#coronavirus : le traitement à la #chloroquine réduit la charge virale à 6 jours pour 75 % des patients selon le Pr Raoult
Diabète de type 1 : le CHU Grenoble Alpes traite ses premiers patients avec un pancréas artificiel
Covid-19 : les soignants positifs ne seront plus maintenus en poste à l’hôpital
Décès et contamination des soignants : l’heure des comptes est venue
Une biopsie du sein guidée par angiomammographie : une première mondiale signée Gustave Roussy
