Données de santé : Cegedim sanctionné par la Cnil

QPC : modalités d’accès au dossier médical partagé d’un patient par les professionnels participant à sa prise en charge
13 septembre 2024
Détermination du résultat fiscal des médecins conventionnés relevant du secteur I
23 septembre 2024

Données de santé : Cegedim sanctionné par la Cnil

L'éditeur de logiciels médicaux Cegedim Santé se voit infliger une amende de 800.000 € pour avoir notamment traité des données de santé sans autorisation.La société Cegedim Santé édite et vend des logiciels de gestion aux médecins de ville exerçant en cabinet et en centre de santé. Ces logiciels, utilisés par environ 25.000 cabinets médicaux et 500 centres de santé, permettent aux médecins de gérer leur agenda, les dossiers de leurs patients et leurs prescriptions.Des contrôles réalisés par la Commission nationale de l'informatique et des libertés (Cnil) en 2021 ont notamment permis de révéler que, dans le cadre de l'utilisation de l'un de ses logiciels, la société avait traité sans autorisation des données de santé pseudonymes et non anonymes, transmises à ses clients en vue de produire des études et des statistiques dans le domaine de la santé. La réidentification des personnes concernées était techniquement possible.En outre, la société n’a formulé aucune demande d’autorisation auprès de la Cnil permettant d’évaluer si le traitement en cause était nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique ou nécessaire à des fins de recherche scientifique. Elle n'a pas non plus adressé à la Cnil de déclaration de conformité à l’un de ses référentiels.Enfin, en ne prévoyant pas la possibilité que les données soient simplement consultées par les médecins sans entraîner une collecte automatique, la société n’avait pas traité les données de manière licite.En conséquence, par une délibération n° SAN-2024-013 du 5 septembre 2024, la formation restreinte de la Cnil a prononcé une amende de 800.000 € à l’encontre de la société, au regard des capacités financières de la société, de la gravité des manquements retenus, du caractère massif du traitement et du fait que les données concernées sont des données de santé, donc des données sensibles.