La décision portée par la CNIL dans le cas de CEGEDIM Santé, met en évidence la très forte sensibilité du sujet de la sécurité des données médicales et des risques encourus en cas de politique de gestion non conforme. La gestion des données de santé est un enjeu crucial dans les environnements de santé où la protection des informations personnelles et médicales des patients se doit d’être une priorité.
Que dit la CNIL ?
La récente sanction de CEGEDIM Santé en date du 5 septembre 2024 prononcée par la CNIL sous la forme d’une amende 800.000 € en est la preuve : l'entreprise a été condamnée pour insuffisance dans l'anonymisation des données médicales, mettant en lumière les risques auxquels les établissements de santé peuvent s'exposer. En effet le recours à la pseudonymisation n’est pas suffisant et n’apporte pas la garantie suffisante de la protection des données personnelles, la réidentification des personnes concernées étant techniquement possible.
S’agissant d’un traitement de données à caractère personnel, la société aurait dû disposer au préalable d’une autorisation de la CNIL pour les utiliser (cf article 66.III de la loi Informatique et Libertés).
La sécurité des accès aux données de santé, un véritable casse tête pour les établissements de soins
L'anonymisation des données est essentielle pour prévenir tout accès non autorisé et garantir la confidentialité des patients. Pourtant, de nombreuses structures peinent encore à implémenter des solutions solides de protection, exposant ainsi leurs systèmes à des sanctions sévères et des pertes de confiance de la part du public. Ne pas oublier que la majorité des données sensibles autour d’un patient, comme l’année de naissance, le sexe, la taille, le poids, les antécédents médicaux, les diagnostics et prescriptions médicales…, sont dorénavant liées à un identifiant unique pour chaque patient d’un médecin ou d’un centre de soins, et donc donne la possibilité ainsi de reconstituer le parcours de soins. Dans ce cas, comme pour Cegedim Santé, la pseudonymisation ne suffit pas à protéger l’individu concerné.
La Loi Informatique et Libertés (article 66.III) prévoit que le traitement des données personnelles dans le domaine de la santé ne peut être mis en œuvre qu’après autorisation de la CNIL ou à condition d'être en conformité à un référentiel mentionné.
Cette affaire rappelle à quel point le sujet est au cœur des programmes de digitalisation notamment des dossiers de patients. En effet les réglementations sont exigeantes et l’autorité de contrôle veille à leur application.
la CNIL multiplie les décisions concernant les données de santé
N’oublions pas qu’en février de cette année, la CNIL a mis en demeure plusieurs établissements de santé de prendre les mesures permettant d’assurer la sécurité du dossier patient informatisé, rappelant que les données des patients ne doivent être accessibles qu’aux personnes justifiant du besoin d’en connaître. Il s’agissait avant tout de renforcer les règles d’accès et les profils des personnes habilitées.
Renforcer la sécurité des données sensibles et encadrer les accès aux dites données, notamment celles intégrées aux dossiers de patient, sont au cœur des stratégies de gouvernance des données de tout établissement de santé. Nous le rappelons dans chaque projet de dématérialisation de dossiers médicaux que nous accompagnons pour le compte d’établissements de santé.
Caroline Buscal
Consultante Experte dématérialisation et archivage
Directrice Serda Conseil