Sécurité des SI de santé : La Cnil sanctionne deux médecins

La Cnil sanctionne deux médecins libéraux pour défaut de sécurité et pour ne pas avoir notifié une violation de données.

Sécurité des SI de santé : La Cnil sanctionne deux médecins

Par deux délibérations de la formation restreinte du 7 décembre 2020, la Cnil a prononcé des amendes d’un montant de 3 000 € et 6 000 € à l’encontre deux professionnels de santé libéraux pour défaut de sécurité et pour ne pas avoir notifié une violation de données (1).

Contexte

Des tiers non autorisés pouvaient consulter et exploiter des données d’imagerie médicale de patient de deux professionnels de santé. En cause, l’ouverture des ports réseaux de la box internet et le paramétrage du PACS (2) du logiciel d’imagerie médicale qu’ils utilisaient.

Suite à un signalement, les services de la Cnil ont procédé à un contrôle en ligne et confirmé le caractère librement accessible de plusieurs milliers de séries d’imagerie médicale associées à l’identité, à la date de naissance des patients, la date de réalisation de l’examen en question, le nom du praticien référent, du praticien ayant réalisé l’examen ainsi que le nom de l’établissement dans lequel l’examen a eu lieu.

Manquement à l’obligation d’assurer la sécurité des données

En application de l’article 32 du RGPD, le responsable de traitement est tenu de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque du traitement de données personnelles.

La Cnil relève que les deux professionnels de santé n’ont pas mis en œuvre les mesures techniques appropriées pour la garantir la sécurité des données des patients du fait :

• de mauvais paramétrages de leur box internet et du logiciel d’imagerie médicale ;
• de l’absence de chiffrement des données personnelles contenues dans le disque dur des ordinateurs des professionnels de santé, permettant la consultation de ces données personnelles par des tiers non autorisés, le cas échéant en cas de perte ou de vol de ces matériels ou lors d’un accès illégitime sur le réseau informatique.

Les recommandation de la Cnil

La Cnil recommande :

• « d’autoriser uniquement les fonctions réseau nécessaires aux traitements mis en place » et de « limiter le plus possible la connexion d’appareils non professionnels sur le réseau au sein duquel sont traitées les données des patients, ainsi qu’à recourir à des moyens d’authentification forte pour accéder à ce réseau » ;
• « de prévoir des moyens de chiffrement des postes nomades et supports de stockage mobiles (ordinateur portable, clés USB, disque dur externe, CD-R, DVD-RW, etc.) » et de procéder au chiffrement des données des patients à l’aide d’un logiciel adapté, y compris si le chiffrement « ralentit trop l’exécution des applications (dossier médical, outil de visualisation des images », comme l’indiquait un des professionnels de santé.

A ce titre, s’agissant de la sécurité des données de santé, les professionnels de santé peuvent s’appuyer sur les référentiels suivant :

• le respect de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) (3) et
• la doctrine du numérique en santé.

Ces référentiels correspondent à l’état de l’art du secteur.

Manquement à l’obligation de notifier la violation de données

En application de l’article 33 du RGPD, le responsable de traitement est tenu de notifier la violation de données à l’autorité de contrôle compétente dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. Cette notification est réalisée :

• lorsque la violation en question est susceptible d’engendrer un risque pour les droits et libertés des personnes physiques et
• qu’elle peut être réalisée par le biais d’un téléservice disponible sur le site internet de la Cnil.

Les différentes obligations de notification, signalement et communication des acteurs de la santé liés aux incidents de sécurité avaient été rappelées dans notre article sur les incidents de sécurité des systèmes d’information de santé.

La Cnil relève que la violation de données (accès non autorisé aux données des patients) n’a pas fait l’objet de notification de la part des professionnels de santé. Si ces derniers opposaient le « caractère artificiel » de cette obligation dans la mesure où ils avaient eu connaissance de la violation par les services de contrôle de la Cnil, la Cnil estime que cette circonstance ne déchargeait pas le professionnel de l’obligation de notification.

En revanche, la Cnil ne se prononce pas sur la nécessité de communiquer une telle violation aux personnes concernées. Peut-elle engendrer un risque élevé pour les droits et libertés des patients au regard du caractère sensible des données ?

Rôle des sous-traitants et des éditeurs dans la sécurité des données

Dans son communiqué, la Cnil appelle à la vigilance des professionnels de santé lorsqu’ils utilisent des logiciels et applications dans le cadre des traitements des données personnelles de leurs patients et les incite à s’entourer, le cas échéant, de prestataires compétents en la matière (4).

A ce titre, la Cnil recommande aux professionnels de santé, lorsqu’ils utilisent des outils numériques pour leurs activités :

• de s’assurer que les fournisseurs et prestataires mettent en œuvre les mesures de sécurité appropriées et conformes à l’état de l’art du secteur de la santé ; en particulier, lorsqu’ils sont sous-traitants au sens de la réglementation sur la protection des données ;
• d’associer les fournisseurs et prestataires lors de l’installation et du paramétrage des outils numériques ;
• de solliciter de la part des fournisseurs et prestataires des garanties concernant le niveau de sécurité mis en œuvre (5) ; mais également de les intégrer aux documents contractuels du fournisseur ou prestataire ;
• de prévoir dans les documents contractuels la réalisation d’audits réguliers des fournisseurs et prestataires (audits documentaires ou sur place).

Eléments pris en compte pour l’évaluation du montant des sanctions

Pour déterminer le montant des amendes respectives (3000 et 6000 €), la Cnil a fait application des critères suivants :

• le degré de coopération avec la Cnil pour remédier à la violation et en atténuer les éventuels effets négatifs. Les professionnels de santé ont immédiatement pris les mesures nécessaires pour mettre un terme à la violation de données ;
• la nature, la gravité et la durée de la violation ou encore le nombre de personnes concernées affectées ;
• les catégories de données personnelles concernées par la violation. S’agissant de données personnelles dont le degré de sensibilité est important, des mesures de sécurité renforcées s’imposaient ;
• la manière dont la Cnil a eu connaissance de la violation. Par exemple, si, et dans quelle mesure, le responsable de traitement ou le sous-traitant ont notifié la violation. Rappelons que la Cnil a eu connaissance de la violation de données par le biais d’un article de presse.

Les sanctions s’élèvent à 3000 € à l’encontre d’un des professionnels et de 6000 € à l’encontre du second.

Les deux professionnels disposent de revenus d’importance similaire. La différence entre les sanctions pourrait être due à la durée de la violation dans la mesure où :

• concernant la condamnation à 3000 €, les données personnelles ont été accessibles « pendant une durée d’environ quatre mois » ;
• concernant la condamnation à 6000 €, les données ont été accessibles « pendant une durée d’un peu moins de cinq ans ».

En revanche, le volume des données concernées par la violation ne semble pas avoir été pris en compte :

• concernant le professionnel condamné à 3000 €, 5300 séries d’imagerie médicale étaient concernées par la violation ;
• concernant le professionnel condamné à 6000 €, plus de 1200 séries d’imagerie médicale étaient concernées par la violation.

Il résulte de ces délibérations que tous les acteurs doivent être vigilants quant à la sécurité de leurs traitements ; et ce, quel que soit leur mode d’exercice de la profession.

Eric Le Quellenec
Chloé Gaveau
Lexing Informatique Conseil

Notes :

(1) Délib. Cnil SAN-2020-014 du 07-12-2020 ; Délib. Cnil SAN-2020-015 du 07-12-2020.
(2) PACS (Picture Archiving and Communication System) : système permettant de gérer les images médicales grâce à des fonctions d’archivage.
(3) Référentiels de sécurité des systèmes d’information de santé publiés par l’Agence du Numérique en Santé visés à l’article L. 1110-4-1 du Code de la santé publique.
(4) Cnil, Violations de données de santé : la CNIL sanctionne deux médecins, communiqué du 17-12-2020.
(5) Par exemple, certificat hébergeur de données de santé, accès au registre des catégories d’activité de traitement ou à la liste des mesures de sécurité mises en œuvre, politiques de sécurité, engagement de résultat quant à la mise en œuvre de moyens respectant la PGSSI-S et l’état de l’art, etc.