Les données de santé sont considérées comme des données sensibles au sens du RGPD. Il en est ainsi du traitement du NIR (Numéro d’Inscription au Répertoire ou numéro de sécurité sociale) qui, par principe, est interdit sauf autorisation par décret en Conseil d’Etat.
Ce rappel des dispositions du RGPD peut expliquer la lourde amende infligée à la société DEDALUS BIOLOGIE le 15 avril par la CNIL.
Dans cette affaire, une fuite de données massive concernant près de 500 000 personnes a été révélée, le 23 février 2021, dans la presse ayant mis en cause ladite société. Les données apparues sur internet étaient : nom, prénom, NIR, nom du médecin prescripteur, date d’examen et autres informations médicales sur les patients.
Depuis cette date, la CNIL a réalisé plusieurs contrôles auprès de la société et a saisi le tribunal judiciaire de Paris pour bloquer l’accès au site internet sur lequel les données étaient publiées, ce qui a été fait dès le 4 mars 2021.
Suite à ces contrôles, la CNIL a constaté les manquements :
- à l’obligation pour le sous-traitant de respecter les instructions du responsable de traitement (article 29 du RGPD)
- à l’obligation d’assurer la sécurité des données personnelles (article 32 du RGPD)
- à l’obligation d’encadrer par un acte juridique formalisé, les traitements effectués pour le compte du responsable de traitement (article 28 du RGPD)
La décision de la CNIL s’est particulièrement penchée sur le manquement à l’obligation d’assurer la sécurité des données personnelles. En effet, elle a constaté de nombreuses absences de mesures de protection comme l’absence de chiffrement des données personnelles stockées, d’effacement automatique des données, d’authentification requise depuis internet, de procédure de supervision et de remontée d’alertes de sécurité sur le serveur, etc.
Pour ces motifs, la CNIL a sanctionné la société DEDALUS BIOLOGIE à une amende de 1.5 million d’euros.
A l’occasion de cette décision, nous ne pouvons que réitérer nos recommandations : assurez-vous de la mise en place et de l’effectivité des mesures de sécurité des données personnelles.
Consultez ici l’intégralité de la décision et de l’article de la CNIL : Décision SAN-2022-009 du 15 avril 2022 ; Fuite de données de santé : sanction de 1.5 million d’euros à l’encontre de la société DEDALUS BIOLOGIE