CEGEDIM SANTE, spécialisée dans l’édition et la vente de logiciels de gestion pour les médecins de ville, a récemment été sanctionnée par la CNIL pour des manquements graves dans la gestion des données de santé de ses utilisateurs.
Plus de 25 000 cabinets médicaux et 500 centres de santé utilisent ses logiciels pour gérer leurs agendas, dossiers patients et prescriptions.
Enquête de la CNIL sur CEGEDIM SANTE
Les contrôles menés en 2021 par la CNIL ont mis en lumière des pratiques non conformes à la réglementation. La société avait transmis des données de santé non anonymes à ses clients afin de produire des études et des statistiques, sans avoir obtenu les autorisations nécessaires. Cette infraction, combinée à la sensibilité des données en question, a conduit la formation restreinte de la CNIL à infliger une amende de 800 000 euros à l’entreprise.
Pseudonymisation vs Anonymisation : un enjeu clé
L’un des points centraux de l’enquête concernait la nature des données traitées par CEGEDIM SANTÉ. Les données à caractère personnel, utilisées dans le cadre d’un « observatoire » impliquant des médecins, n’étaient pas anonymes comme le requiert la réglementation, mais simplement pseudonymisées.
Autrement dit, il est possible d’avoir le parcours de soin d’un patient et de procéder à une réidentification, tout cela à l’aide d’un identifiant unique lié à chaque patient.
Cette collecte incluait des informations sensibles telles que les antécédents médicaux, les prescriptions ou encore les résultats d’analyses, augmentant le risque de réidentification.
Selon la loi Informatique et Libertés (article 66.III), la société aurait dû obtenir une autorisation préalable de la CNIL pour traiter ces données. Le non-respect de cette obligation a constitué un manquement grave, aggravé par le caractère massif du traitement.
Manquements supplémentaires et collecte automatisée
Outre le non-respect des formalités, la CNIL a également sanctionné CEGEDIM SANTÉ pour un manquement à l’article 5.1.a du RGPD. En effet, via le téléservice « HRi » de l’assurance maladie, la société récupérait automatiquement des données sur l’historique des remboursements de santé des patients, sans laisser aux médecins la possibilité de simplement consulter ces informations sans les télécharger. Cette collecte automatique a été jugée non conforme par la CNIL.
La sanction de 800 000 euros prononcée à l’encontre de CEGEDIM SANTÉ reflète la gravité des manquements. La CNIL n’a toutefois pas imposé de mise en conformité immédiate, puisque depuis juillet 2024, la société n’est plus directement responsable du traitement des données. Cette tâche incombe désormais à une autre entité du groupe.
Besoin d’un accompagnement à ce sujet ?
Vous voulez éviter les sanctions de la CNIL et garantir une gestion conforme de vos données personnelles ? Nous sommes là pour vous accompagner. Contactez-nous pour une consultation personnalisée et découvrez comment nous pouvons vous aider à vous conformer au RGPD.
Notre équipe d’experts est à votre disposition pour vous offrir des conseils pratiques et des solutions sur mesure pour protéger les données de vos utilisateurs.
Sanction CNIL : Vinted écope d’une amende de 2,3 Millions d’Euros
Le 2 juillet 2024, la société Vinted UAB a été condamnée à une amende de 2 385 276 euros par l'autorité lituanienne de protection des données, en collaboration avec la CNIL (Commission Nationale de l'Informatique et des Libertés).
Cette sanction CNIL Vinted fait suite à plusieurs manquements concernant le traitement des données personnelles des utilisateurs de la plateforme.
PAP épinglé par la CNIL : des millions de données mal protégées
Le site de petites annonces immobilières PAP a été condamné par la CNIL à une amende de 100 000 euros pour manquements à la protection des données personnelles de ses utilisateurs.
Recevez nos actualités, billets et nouvelles formations, directement dans votre boîte mail.
Pour plus d’information sur le traitement de vos données personnelles ou exercer vos droits, merci de prendre connaissance de notre Politique de confidentialité ou contactez notre DPO à l’adresse [email protected].
Télécharger la brochure
En 1 clic, je reçois la plaquette commerciale !
Dans le cadre de sa démarche d’accompagnement, Actecil vous propose de vous envoyer directement par email notre plaquette commerciale. Simple et efficace, en quelques clics, le document est dans votre boîte email.
