Risque RGPD : des sanctions à ne pas prendre à la légère pour les médecins

La gestion des données personnelles des patients est souvent considérée comme un sujet secondaire, voire inexistant. Et pourtant, depuis 2018, date d’entrée en vigueur du Règlement européen sur la protection des données en France, les médecins sont confrontés au respect de nombreuses obligations RGPD qui ne doivent pas être sous-estimées.

En effet, le non-respect des règles inhérentes aux données de santé peut mener à des sanctions de la part de la Commission nationale informatique et liberté (CNIL). Qu’elles soient pécuniaires, disciplinaires ou pénales, ces peines peuvent s’avérer particulièrement sévères.

Sanctions pécuniaires : le risque RGPD le plus répandu

Dans la plupart des cas, les sanctions liées au non-respect du règlement général sur la protection des données se traduisent par des amendes

L’article 32. RGPD a permis d’observer à l’encontre des deux médecins « un manquement à l’obligation de sécurité des données » les obligeant respectivement à 3 000 et 6 000 euros d’amende.

L’obligation de sécurisation des données

Dans le cadre de sa pratique, un médecin est dans l’obligation de sécuriser les données de santé qu’il traite au quotidien quelque ce soit le lieu de stockage de ces données (sur son ordinateur ou sur le réseau informatique d’un centre de soin par exemple). Pour ce faire, il doit notamment s’assurer que la configuration de son réseau informatique ne permet pas aux données sensibles d’être consultées par des tiers. En outre et en cas d’échange de données sur internet, les données personnelles stockées sur des serveurs doivent faire l’objet d’un chiffrement systématique.

Tout manquement à cette obligation de sécurité des données peut donner lieu à de lourdes amendes. En décembre 2020, par exemple, deux médecins ont été condamnés par la CNIL à verser respectivement 3 000 € et 6 000 €. En cause : une protection insuffisante des données de leurs patients, mais aussi l’absence de notification de la violation de données.*

Source : https://www.cnil.fr/fr/violations-de-donnees-de-sante-la-cnil-sanctionne-deux-medecins

Le défaut d’information de la violation des données

Autre risque RGPC et cyber important, mais parfois méconnu par les praticiens, le défaut d’information est encadré par l’article 33 du Règlement général sur la protection des données. Il dispose qu’en cas de violation de données personnelles, le responsable du traitement, ici le médecin, doit notifier la violation en question à l’autorité de contrôle compétente (c’est-à-dire la CNIL) dans les plus brefs délais, idéalement sous 72 heures.

Ainsi, un médecin qui réalise que les données de ses patients ont été compromises dispose d’une fenêtre réduite pour avertir la CNIL. La notification doit d’ailleurs contenir plusieurs éléments :

  • La présentation des faits.
  • Les effets de la violation des données sur les patients, le cabinet, etc.
  • Les mesures correctives mises en place ou envisagées pour limiter les effets de la violation et éviter qu’elle se reproduise.

Sanctions disciplinaires et pénales : un risque RGPD non négligeable

Au-delà des sanctions pécuniaires de la CNIL, les médecins doivent également prendre conscience du risque disciplinaire et pénal auquel ils s’exposent en cas de violation des données de leurs patients.

Les sanctions disciplinaires

Le non-respect du RGPD peut entraîner des sanctions de la part des chambres disciplinaires de l’Ordre des médecins. En Occitanie, par exemple, un praticien a reçu une interdiction temporaire d’exercer, après avoir copié sur son espace personnel de stockage les données sensibles des patients de son établissement.

En effet, l’utilisation d’une boîte mail ou d’un espace de stockage personnel pour envoyer ou conserver des données de santé est contraire à la loi, car ce type de compte n’est pas lié à un hébergeur certifié.

La responsabilité pénale

Outre les sanctions disciplinaires, la copie illégale* de données de patients est susceptible d’engager la responsabilité pénale du médecin. En effet, l’absence de recours à un hébergeur certifié ou à un serveur personnel peut être considérée comme un non -respect des formalités prévues par la loi, en violation de l’article 226-17 du Code pénal.

*la copie illégale de données est sanctionnée par l’article 226-16 du Code pénal :

« Le fait, y compris par négligence de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ».

Comment limiter le risque RGPD ?

Vous vous demandez comment sécuriser les données de vos patients ? Il existe des bonnes pratiques pour lutter contre la cybercriminalité et ainsi réduire le risque RGPD au quotidien : utilisation de mots de passe variés et complexes, chiffrement des données, authentification via la e-CPS…Vous pouvez consulter bonnes pratiques pour lutter contre la cybercriminalité.

Toutefois, ces mesures ne suffisent pas toujours pour éviter la compromission des données de santé. Avec la garantie cyber Branchet, vous pouvez compter sur une assistance 7j/7 et 24h/24 incluant, notamment, les frais liés à la préservation des données en cas d’attaque, Les frais de restauration du système d’information ainsi que les frais de défense en cas de piratage des systèmes de paiement par carte de crédit.

Pour en savoir plus, consultez notre page dédiée et prenez contact avec l’un de nos experts risques cyber : https://www.branchet.fr/offres/risque-cyber/