Deux médecins sanctionnés pour avoir mal protégé les données médicales de leurs patients

“Des milliers d’images médicales”, dont des radios, scanners et IRM, librement accessibles sur Internet durant plusieurs années. C’est le constat fait par les équipes de la CNIL après une enquête au sujet de deux médecins parisiens peu regardants sur la sécurité des données de leurs patients. Ce 17 décembre, l’autorité administrative annonce avoir prononcé deux amendes à leur encontre, respectivement de 3.000 et 6.000 euros.

Ces résultats d’examens médicaux sont d’autant plus sensibles qu’ils s’accompagnaient des nom, prénom, date de naissance et date de consultation des patients.

“Mauvais paramétrage”

“Lors des auditions de contrôle, les médecins ont reconnu que les violations de données avaient pour origine un mauvais choix de configuration de leur box Internet ainsi qu’un mauvais paramétrage de leur logiciel d’imagerie médicale. Les investigations menées ont également permis d’établir que les images médicales conservées sur leurs serveurs n’étaient pas systématiquement chiffrées” précise l’autorité administrative.

Elle relève ainsi un manquement à l’obligation de sécurité des données émanant du RGPD, le règlement européen sur la protection des données. Les deux médecins sont également coupables de ne pas avoir averti leurs patients après avoir pris connaissance des failles de protection des images les concernant.

“Si la formation restreinte n’a pas considéré nécessaire que l’identité des médecins concernés soit rendue publique, elle a néanmoins souhaité assurer la publicité de ces décisions pour alerter les professionnels de la santé sur leurs obligations et la nécessité de renforcer leur vigilance sur les mesures de sécurité apportées aux données personnelles qu’ils traitent” justifie la CNIL.

Ces deux sanctions font écho à une étude publiée en septembre 2019 par l’entreprise de cybersécurité Greenbone Networks, mentionnant 2,6 millions d’images médicales, là encore provenant de radiologies, scanners et IRM. Des clichés rattachés à quelque 48.000 patients français, stockés en ligne sans aucune protection.