La Cnil prononce des amendes de 3.000 € et 6.000 € à l’encontre de deux médecins libéraux pour avoir insuffisamment protégé les données personnelles de leurs patients et ne pas avoir notifié une violation de données à la Cnil.Lors d’un contrôle en ligne réalisé en septembre 2019, la Commission nationale de l’informatique et des libertés (Cnil) a constaté que des milliers d’images médicales hébergées sur des serveurs appartenant à deux médecins libéraux étaient librement accessibles sur internet.
Sur la base de ces éléments, la formation restreinte de la Cnil a relevé que les deux médecins s’étaient affranchis des principes élémentaires en matière de sécurité informatique.
Par deux délibérations en date du 7 décembre 2020 (SAN-2020-014 et SAN-2020-015), elle a retenu un manquement à l’obligation de sécurité des données (article 32 du règlement 2016/679 du 27 avril 2016), considérant qu’ils auraient notamment dû s’assurer que la configuration de leurs réseaux informatiques ne conduisait pas à rendre les données librement accessibles sur internet et procéder au chiffrement systématique des données personnelles hébergées sur leurs serveurs.
La formation restreinte a également retenu un manquement à l’obligation de notifier les violations de données à la Cnil (article 33 du RGPD). En effet, les deux médecins n’ont pas effectué ces notifications obligatoires auxquelles ils auraient dû procéder après avoir appris que les images médicales de leurs patients étaient librement accessibles sur internet.
La Cnil a prononcé des amendes de 3.000 € et 6.000 € à l’encontre des deux professionnels mais n’a pas considéré nécessaire que leur identité soit rendue publique.