Ces deux médecins ont été condamnés respectivement à 3.000 et 6.000 euros d'amende.
"À la suite d’un contrôle en ligne réalisé en septembre 2019, la Cnil a constaté que des milliers d’images médicales hébergées sur des serveurs appartenant à [ces] deux médecins libéraux étaient librement accessibles sur Internet", a expliqué la Commission.
Les images n'étaient "pas systématiquement chiffrées", a-t-elle soulevé.
Elles pouvaient donc être consultées et téléchargées, et étaient "suivies notamment des nom, prénoms, date de naissance et date de consultation des patients", peut-on lire dans les délibérations.
Les médecins "ont reconnu que les violations de données avaient pour origine un mauvais choix de configuration de leur box internet ainsi qu’un mauvais paramétrage de leur logiciel d’imagerie médicale", a résumé la Cnil sur son site.
"Sur la base de ces éléments", la formation restreinte de la Commission a retenu:
- "un manquement à l’obligation de sécurité des données, considérant que [les médecins] auraient notamment dû s’assurer que la configuration de leurs réseaux informatiques ne conduisait pas à rendre les données librement accessibles sur Internet et procéder au chiffrement systématique des données personnelles hébergées sur leurs serveurs"
- "un manquement à l’obligation de notifier les violations de données à la Cnil", les deux médecins n'ayant pas 'effectué' ces notifications obligatoires auxquelles ils auraient dû procéder après avoir appris que les images médicales de leurs patients étaient librement accessibles sur Internet".
Leurs identités ont été retirées des délibérations publiées jeudi, la formation restreinte "n'ayant pas considéré nécessaire" qu'elles soient rendues publiques.
"Elle a néanmoins souhaité assurer la publicité de ces décisions pour alerter les professionnels de la santé sur leurs obligations et la nécessité de renforcer leur vigilance sur les mesures de sécurité apportées aux données personnelles qu’ils traitent", est-il souligné.
La Cnil a appelé les professionnels de santé à la "vigilance", à la "prudence", et "à choisir les solutions applicatives présentant le maximum de garanties en termes de sécurité informatique et de protection des données personnelles".
Délibération de la formation restreinte de la Cnil n°SAN-2020-014 du 7 décembre 2020
Délibération de la formation restreinte de la Cnil n°SAN-2020-015 du 7 décembre 2020
Vos réactions