À la suite de contrôles en ligne, la CNIL a sanctionné deux médecins libéraux (3 000 et 6 000 euros) pour négligence dans la sécurité des données d’imageries médicales de leurs patients (IRM, radios, scanners, etc…) données suivies notamment des nom, prénoms, date de naissance et date de consultation des patients.  Des centaines d’images hébergées sur les serveurs des deux médecins libéraux étaient ainsi librement accessibles sur Internet depuis près de 5 années.

Obligation des sécuriser les réseaux locaux

Paramétrer son logiciel d’imagerie pour pouvoir transférer automatiquement des images issues de son équipement de radiographie vers la base de données de son logiciel d’imagerie hébergée dans son cabinet et accéder à distance aux images, présente un sérieux risque pour la protection des données.  A minima, un bon paramétrage des outils, le chiffrement des disques durs de démarrage et l’installation de certificats SSL s’imposent.

La CNIL a pointé la violation de deux principes élémentaires en matière de sécurité informatique, à savoir la protection du réseau informatique interne par la limitation des flux réseau au strict nécessaire et le chiffrement des données à caractère personnel.

Lors des auditions de contrôle, les médecins ont reconnu que les violations de données avaient pour origine un mauvais choix de configuration de leur box Internet ainsi qu’un mauvais paramétrage de leur logiciel d’imagerie médicale. Les investigations menées ont également permis d’établir que les images médicales conservées sur leurs serveurs n’étaient pas systématiquement chiffrées.

Violation de l’article 32 du RGPD

La gravité du manquement à l’article 32 du RGPD était d’autant plus caractérisée qu’il s’agissait de données de santé et que cette catégorie particulière de données à caractère personnel doit bénéficier de mesures de sécurité renforcées.

Pour rappel, aux termes de l’article 32 du RGPD, le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.

Les a) et b) de ce même paragraphe 1 prévoient qu’en fonction notamment de la portée, du contexte et des finalités du traitement ainsi que des risques pour les personnes concernées, le responsable de traitement met en œuvre le chiffrement des données à caractère personnel et des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement.

Chiffrement des données à caractère personnel

La protection du réseau informatique interne et le chiffrement des données à caractère personnel font partie des exigences élémentaires en matière de sécurité informatique, qui incombent à tout responsable de traitement.

A cet égard, dans le guide La sécurité des données personnelles , qui offre un éclairage utile aux responsables de traitement quant aux mesures à mettre en œuvre afin de garantir la sécurité de leur traitement, la Commission recommande d’autoriser uniquement les fonctions réseau nécessaires aux traitements mis en place.

De même, le Guide pratique pour les médecins, publié par la CNIL en concertation avec le Conseil national de l’ordre des médecins, invite les médecins à limiter le plus possible la connexion d’appareils non professionnels sur le réseau au sein duquel sont traitées les données des patients, ainsi qu’à recourir à des moyens d’authentification forte pour accéder à ce réseau.

En l’absence de chiffrement, les données médicales contenues dans le disque dur de l’ordinateur d’un médecin sont lisibles en clair par toute personne prenant possession de cet appareil (par exemple, à la suite de sa perte ou de son vol) ou par toute personne s’introduisant de manière indue sur le réseau auquel cet ordinateur est raccordé.

Dans son guide « La sécurité des données personnelles », la CNIL recommande de prévoir des moyens de chiffrement des postes nomades et supports de stockage mobiles (ordinateur portable, clés USB, disque dur externes, CD-R, DVD-RW, etc.), par exemple via le chiffrement du disque dur dans sa totalité lorsque le système d’exploitation le propose, le chiffrement fichier par fichier ou la création de conteneurs (fichier susceptible de contenir plusieurs fichiers) chiffrés. De même, le Guide pratique pour les médecins invite les médecins à procéder au chiffrement des données de leurs patients avec un logiciel adapté.

De façon plus générale, les données médicales appellent une vigilance toute particulière afin d’éviter toute violation de données.

Obligation de notifier la CNIL

Le responsable de traitement doit également, en toute circonstance, respecter l’exigence de notification prévue à l’article 33 du RGDP à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. La circonstance que la violation de données avait été portée à la connaissance d’un médecin  par le service des contrôles de la CNIL ne le décharge pas de cette obligation.

En effet, consécutivement au contrôle, le responsable de traitement peut avoir connaissance d’éléments complémentaires relatifs à la violation de données qui méritent d’être communiqués aux services compétents de la CNIL, lesquels ont notamment pour mission de centraliser les différentes violations de données et d’en assurer le suivi afin de prévenir la compromission de données à caractère personnel. Un téléservice est disponible sur le site de la CNIL pour effectuer ces notifications.