Deux médecins libéraux ont été sanctionnés par la formation restreinte de la CNIL le 7 décembre 2020 pour avoir insuffisamment protégé des données de santé. La CNIL a ainsi prononcé des amendes de 3000 et 6000 € à leur encontre.
En effet, à la suite d’un signalement rapportant un accès libre à des serveurs informatiques d’imagerie médicale, la CNIL a procédé à un contrôle en ligne en septembre 2019. Ce contrôle a permis d’identifier deux médecins libéraux à travers leur adresse IP.
Lors des auditions de contrôle, les médecins ont reconnu voir fait une mauvaise configuration de leur box Internet, ainsi qu’un mauvais paramétrage de leur logiciel d’imagerie médicale. Les investigations ont également permis d’établir que les images médicales conservées sur leurs serveurs n’étaient pas systématiquement chiffrées. Cette insuffisance de protection a rendu possible la consultation et le téléchargement de plusieurs milliers d’images médicales, avec les noms, prénoms et date de naissance de chaque patient, ou encore le nom du praticien référent et du praticien ayant réalisé l’examen.
Ainsi, il est reproché aux deux médecins d’avoir manqué à l’obligation de protéger les données personnelles par des mesures de sécurité appropriées, et à l’obligation de notification de violation de données auprès de la CNIL. La CNIL n’a donc pas hésité à sanctionner des personnes physiques pour manifester sa fermeté face à tous les responsables de traitement qui ne prendraient pas en compte les exigences du RGPD. Enfin, elle attire plus particulièrement l’attention sur le devoir de vigilance des professionnels de la santé.