Non-respect du RGPD : les sanctions encourues par les médecins

cadenas qui protège le réseau

En tant que médecin libéral, vous êtes responsable des données personnelles et/ou sensibles de vos patients. Il vous incombe donc de prendre toutes les précautions utiles pour empêcher que des tiers non autorisés aient accès à ces données de santé, que vous passiez par un prestataire externe ou non (article L 1110-4-1 du Code de la Santé Publique).

Les mesures de sécurité que l’on peut citer en exemple sont :

  • La sécurisation des mots de passe
  • Le verrouillage automatique de la session sur PC
  • Un système intégralement mis à jour régulièrement
  • Un chiffrement des données
  • Impossibilité pour les équipements externes au cabinet de se connecter au réseau du cabinet
  • Authentification via la CPS

Si vous passez par un prestataire externe

Le prestataire stockant des données sur un serveur, il faut donc vous assurer que ce dernier soit bien agréé ou certifié comme le prévoit les dispositions de l’article L. 1111-8 du Code de la Santé Publique. Pensez à bien contractualiser votre relation avec le fournisseur. Votre contrat doit notamment indiquer que votre sous-traitant :

  • Ne traite pas les données à caractère personnel
  • A signé des engagements de confidentialité avec son personnel
  • Assure un niveau de sécurité requis
  • Ne travaille pas avec un sous-traitant sans votre accord
  • Supprime les données à caractère personnel une fois la prestation terminée
  • Permet de réaliser facilement un audit interne de sa gestion des données

Si vous ne respectez pas les obligations nées du RGPD, vous pouvez faire l’objet d’une sanction administrative, voire même pénale.

Des médecins condamnés par la CNIL

La CNIL sanctionne deux médecins pour violation de données de santé

En décembre 2020, la CNIL a prononcé deux amendes de 3 000 € et 6 000 € à l’encontre de deux médecins libéraux pour avoir insuffisamment protégé les données personnelles de leurs patients et ne pas avoir notifié la violation de données.

Les médecins avaient mal configuré leur box Internet et mal paramétré leur logiciel d’imagerie médicale. Des milliers d’images médicales hébergées sur des serveurs leur appartenant étaient librement accessibles sur Internet car celles-ci n’étaient pas systématiquement chiffrées.

Sur la base de ces éléments, la CNIL a retenu un manquement à l’obligation de sécurité des données (article 32 du RGPD). Les deux médecins auraient notamment dû s’assurer que la configuration de leurs réseaux informatiques ne conduisait pas à rendre les données librement accessibles sur Internet et procéder au chiffrement systématique des données personnelles hébergées sur leurs serveurs.

Par ailleurs, les médecins n’ont pas effectué les notifications obligatoires auxquelles ils auraient dû procéder après avoir appris que les images médicales de leurs patients étaient librement accessibles sur Internet (article 33 du RGPD).

D’autres exemples de cyber-attaques touchant les médecins et le secteur de la santé

Pour comprendre quelles sont vos obligations en tant que médecin face à ce nouveau risque, et découvrir comment vous protéger et vous défendre en cas d’attaque : ÉCOUTER LA SUITE DU PODCAST
 
 

L’assurance de Branchet contre les cyber-risques et pour la conformité RGPD

Les cyber-attaques sont de plus en plus nombreuses, notamment dans le secteur de la santé. Cette tendance s’accroit avec la pandémie.

Doctolib a été victime d’un vol de données personnelles concernant plus de 6 000 rendez-vous médicaux. Stoppé par ses équipes mais pas suffisamment tôt pour préserver les données personnelles des patients. Nom, prénom, sexe et âge d’utilisateurs de la plateforme de prise de rendez-vous médicaux ont ainsi été dérobés par les auteurs de l’attaque informatique.

Plus récemment encore le Centre hospitalier de Villefranche-sur-Saône a été attaqué, une semaine après celui de Dax-Côte d’Argent.

Si les établissements de santé représentent l’une des cibles privilégiées des pirates informatiques, les médecins libéraux ne sont pas à l’abri.

Soyez vigilant et choisissez les solutions applicatives présentant le maximum de garanties en termes de sécurité informatique et de protection des données personnelles. Les exemples de plus en plus nombreux de condamnations ou d’attaques doivent vous inciter à la prudence au moment de l’élaboration et du paramétrage de votre système informatique interne, en vous entourant si nécessaire de prestataires compétents en la matière.

En cas de violation, perte, destruction, altération ou divulgation de données, les démarches sont lourdes. Vous devez tout de suite identifier dans la mesure du possible l’étendue du problème, notifier la CNIL, inscrire cette violation dans un registre spécifique, informer les titulaires des données concernées… Branchet peut vous accompagner dans ces démarches.

Si vous vous faites voler votre ordinateur ou votre disque dur, si vous êtes victime d’une intrusion malveillante, d’un piratage ou de problèmes sur le réseau détruisant les données, l’assurance cyber vous couvre.

La garantie cyber Branchet permet notamment :

  • L’accès à une assistance spécifique 7j/7 et 24h/24
  • La reconstitution rapide des données avec la mise à disposition d’un expert informatique
  • La mise en place d’un accompagnement pour les démarches administratives à réaliser : déclaration à la CNIL et information des patients concernés à faire dans les 72 heures

Les frais liés entre autres à la préservation des données en cas d’attaque, à la restauration de votre système d’information, les amendes administratives éventuelles peuvent être également pris en charge au titre de cette garantie.