RGPD - les autorités de protection des données commencent à sanctionner plus activement

    March 22, 2021

    Il semblerait que cette période de sensibilisation soit désormais révolue, comme en témoignent les amendes qui se font de plus en plus fréquentes, et dont le montant est parfois particulièrement élevé.  

    Le secteur des soins de santé, au sein duquel de nombreuses données dites « sensibles » sont traitées, n’est pas épargné par ces contrôles et divers hôpitaux ou médecins ont fait l’objet de sanctions en Europe.

    La CNIL, l’autorité de protection des données françaises, a par exemple récemment sanctionné deux médecins qui n’avaient pas suffisamment sécurisé les données médicales de leurs patients[1], celles-ci étant librement consultables sur Internet suite à une mauvaise configuration des routeurs internet et programmes médicaux utilisés. Les médecins, pour ces négligences en matière de sécurité des données et pour manquement à l’obligation de notifier la violation des données à leurs patients, ont été condamnés à payer des amendes d’un montant de 3.000 € et 6.000 €. Bien que ces amendes puissent paraitre légères, le fait que les décisions aient été rendues publiques par la CNIL témoigne d’une certaine volonté d’avertir le changement de tendance actuellement visible. Dans d’autres cas, les sanctions prononcées ont été bien plus importantes. Nous citerons par exemple le cas d’un hôpital suédois qui a été condamné en décembre 2020 à payer une amende de 2.900.000 € pour divers manquements.

    Le site « GDPR Enforcement Tracker » recense une grande partie des décisions débouchant sur une sanction qui ont été prononcées par les différentes autorités nationales. Avec à l’heure actuelle plus de 47 sanctions prononcées, le secteur des soins de santé occupe la 6ème place parmi les secteurs cumulant le plus grand montant des sanctions (soit 9.740.521 €)[2].

    Il est probable que les contrôles s’intensifient à l’avenir et que les manquements soient réprimés de manière plus sévère qu’auparavant.  Il est primordial de s’assurer que les traitements de données réalisés se font en conformité avec les règles en matière de protection des données à caractère personnel.

     

    Guillaume Pomes

    [1] https://www.cnil.fr/fr/violations-de-donnees-de-sante-la-cnil-sanctionne-deux-medecins

    [2] https://www.enforcementtracker.com/?insights