Médecins libéraux et RGPD : attention aux failles de sécurité informatique !

Des données médicales en accès libre sur internet

En 2019, un signalement est réalisé sur un site web français d'information, spécialisé dans les nouvelles technologies et l'actualité des produits high-tech. Il porte sur l’existence de serveurs informatiques d’imagerie médicale en libre accès, dans différents pays, dont la France. 

Ce libre accès a permis d’accéder :

• à plus de 5 000 données d’imagerie médicale (IRM, radios, scanners) de patients, 
• à leurs coordonnées (nom, prénom, adresse),
• à leurs dates de consultation auprès d’un médecin. 
   

En France, la Commission nationale de l’informatique et des libertés (CNIL) contrôle les adresses IP concernées par cette faille informatique de grande ampleur. Elle identifie que l’une d’elles appartient à un chirurgien orthopédiste libéral. 

Des failles de sécurité informatique dues à des négligences 

Le chirurgien est auditionné quelques mois plus tard par la CNIL, qui relève deux négligences : 

• Pour accéder à distance aux images médicales hébergées dans le disque dur de l’ordinateur fixe de son domicile, il a ouvert les ports réseaux de sa LiveBox personnelle pour faire fonctionner son VPN. De plus, il a paramétré seul, sans l’aide d’un prestataire extérieur, la fonction serveur du logiciel d’imagerie. 
• Il a par ailleurs omis de mettre en place un dispositif de chiffrement des données à caractère personnel figurant sur son disque dur externe. C’est ce qui a permis aux personnes qui ont pris possession de ses appareils ou qui se sont introduits indûment sur le réseau utilisé d’accéder à plus de 5 300 images médicales. 

Le chirurgien libéral est sanctionné

Compte tenu du caractère particulièrement sensible des données médicales, la CNIL relève un manquement aux exigences élémentaires en matière de sécurité informatique qui incombent à tout responsable de traitement. Elle considère que le médecin aurait dû :

• s’assurer que la configuration de son réseau informatique ne conduisait pas à rendre les données librement accessibles sur Internet ;
• procéder au chiffrement systématique des données personnelles hébergées sur ces serveurs ;
• notifier à la CNIL la violation des données personnelles susceptible de faire naître un risque pour les droits et libertés des personnes physiques. 
   

Au regard de l’ensemble de ces faits, la formation restreinte de la CNIL sanctionne le praticien d’une amende de 3 000 €. Par une décision du 22 juillet 2022, le Conseil d’État confirme les manquements du médecin mais ramène l’amende à 2 500 €, estimant qu’il n’y a pas eu de sa part de défaut de notification de la violation des données personnelles. 

Rappel : quelles sont les obligations des médecins libéraux pour le respect du RGPD ? 

Le praticien libéral doit respecter des règles de sécurité pour protéger les données de ses patients contre des accès non autorisés ou illicites et contre la perte, la destruction ou les dégâts d’origine accidentelle. 

Cela suppose le recours à des mesures techniques et organisationnelles, éventuellement par l’intermédiaire d’un prestataire, telles que : 

• l’utilisation de la carte professionnel de santé ;
• l’utilisation d’un mot de passe strictement personnel et conforme aux recommandations de la CNIL ;
• le chiffrement des données avec un système fort ;
• l’utilisation d’un antivirus ;
• le verrouillage automatique de la session après une période d’inactivité brève (30 minutes en général) ;
• l’absence (ou à tout le moins un recours exceptionnel) de connexion via un appareil non professionnel, etc.