Données personnelles : ce logiciel de santé les utilisait sans autorisation, la CNIL sanctionne

La CNIL a récemment imposé une lourde sanction à Cegedim, entreprise spécialisée dans les logiciels de santé. Accusée de traiter des données de santé sans les autorisations requises, elle doit désormais régler une amende de 800 000 euros.

Stephanie Haerts
Par Stéphanie Haerts Modifié le 25 septembre 2024 à 17h31
médecin données logiciel
Données personnelles : ce logiciel de santé les utilisait sans autorisation, la CNIL sanctionne - © Economie Matin

Une collecte illicite de données

Cegedim Santé, connue pour son logiciel Maiia, concurrent de DoctoLib, s’est vue reprocher par la CNIL la gestion opaque de données sensibles. L'entreprise a recueilli des informations détaillées sur les patients à travers un dispositif nommé HRi, promettant aux médecins de participer à un « observatoire ». Ce programme a impliqué automatiquement 2 000 médecins, entraînant la collecte des données de leurs patients. « Les investigations menées par la CNIL ont permis d’établir que ces données n’étaient pas anonymes, mais uniquement pseudonymes, la réidentification des personnes concernées étant techniquement possible » a indiqué la CNIL, dans des propos rapportés par le site Clubic.

La CNIL a récemment imposé une lourde sanction à Cegedim, entreprise spécialisée dans les logiciels de santé. Accusée de traiter des données de santé sans les autorisations requises, elle doit désormais régler une amende de 800 000 euros. La protection des informations personnelles dans le secteur médical reste un élément essentiel pour s'assurer que les informations médicales ne soient pas divulguées de façon inappropriées mais aussi pour préserver la confidentialité. L'organisme de régulation a mis en évidence le caractère insuffisamment sécurisé de ces données, qui, bien que sous pseudonymes, incluaient des informations sensibles permettant de retracer l'identité des patients. Les données concernaient « l’année de naissance, le sexe, la catégorie socio-professionnelle, les allergies, les antécédents médicaux, la taille, le poids, le diagnostic, les prescriptions médicales, les arrêts de travail et les résultats d’analyse »

800 000 euros d’amende, une sanction record

Face à cette situation, la CNIL a pointé du doigt plusieurs violations des normes de protection des données par Cegedim. L’entreprise n'a pas sollicité l'autorisation nécessaire pour traiter ces données sensibles, ce qui a mené à l'amende de 800 000 euros. La CNIL a également découvert que Cegedim n'avait pas non plus fourni de déclaration de conformité, élément essentiel pour la légitimité du traitement de données médicales. Par ailleurs, le système permettait le téléchargement automatique des données dans les dossiers des patients sans option pour une simple consultation, exacerbant les risques de confidentialité.

En réponse, Cegedim conteste les allégations de la CNIL, affirmant que les données étaient anonymes et que des efforts de mise en conformité étaient déjà en cours. L'entreprise envisage même de porter l'affaire devant le Conseil d'État pour contester la décision, témoignant de la complexité des enjeux autour de la protection des données de santé.

Cegedim Santé, acteur majeur du numérique en santé, souhaite apporter des précisions sur la décision de la CNIL du 5 septembre 2024 concernant le traitement des données issues du logiciel Crossway dans le cadre d’un programme de recherche, porté par un réseau restreint de 2 000 médecins volontaires dans un intérêt de santé publique.

Dans cette décision contestée par Cegedim Santé, la CNIL estime que ce traitement aurait dû faire l’objet de formalités préalables, pour la période allant de 2018 (adoption du RGPD) à 2021 (date du contrôle). Pour autant, la CNIL, qui avait connaissance du traitement depuis de très nombreuses années, ne remet pas en cause la robustesse des process, la sécurité des données, ou l’utilisation qui en est faite, ni la poursuite des activités de ce programme de recherche.
C’est le non-accomplissement de cette formalité administrative, lié à un désaccord d’experts sur le caractère anonyme des données, sur cette version ancienne du logiciel qui justifie pour la CNIL le prononcé de la sanction plus de 3 ans après le contrôle réalisé. La CNIL confirme dans son communiqué que Cegedim Santé est désormais en conformité avec la règlementation.

Au vu de ces éléments et de la jurisprudence européenne, Cegedim Santé examine la possibilité de contester la décision de la CNIL devant le Conseil d’Etat.

Laissez un commentaire
Stephanie Haerts

Rédactrice dans la finance et l'économie depuis 2010. Après un Master en Journalisme, Stéphanie a travaillé pour un courtier en ligne à Londres où elle présentait un point bourse journalier sur LCI. Elle rejoint l'équipe d'Économie Matin en 2019, où elle écrit sur des sujets liés à l'économie, la finance, les technologies, l'environnement, l'énergie et l'éducation.

Aucun commentaire à «Données personnelles : ce logiciel de santé les utilisait sans autorisation, la CNIL sanctionne»

Laisser un commentaire

* Champs requis