La CNIL sanctionne une déclaration mensongère d'un hébergeur de données de santé
RSS CNIL - , 9/01/2012
La CNIL a prononcé un avertissement à l'encontre d'un hébergeur de données de santé, au sujet d'une déclaration mensongère contenue dans son dossier de demande d'agrément. La société prétendait chiffrer les données médicales hébergées, ce qui était inexact.
Le code de la santé publique impose aux personnes physiques ou morales hébergeant des données de santé d'être agréées par le Ministre de la santé. La délivrance de l'agrément fait suite à un avis de la CNIL. Dans cet avis, la CNIL se prononce sur les garanties présentées par le candidat en matière de sécurité des données médicales traitées.
En 2009, une société avait déclaré dans son dossier de candidature qu'elle chiffrait l'ensemble des données médicales hébergées, par un procédé dit de "chiffrage fort". Cela constituait l'un des atouts de cette candidature et la société avait donc obtenu l'agrément du ministère de la santé en début 2010.
Début 2011, la CNIL a réalisé un contrôle sur place. Elle a alors constaté que les données médicales n'étaient pas chiffrées et qu'elles étaient accessibles aux administrateurs informatiques de la société et non pas exclusivement au personnel de santé habilité. La société avait uniquement protégé certaines des données de santé par un codage créé en interne.
La formation contentieuse de la Commission a considéré que le traitement de données personnelles était contraire à l'article 6-1° de loi "Informatique et Libertés" qui prévoit que les données doivent être traitées de manière licite. Elle a estimé que la société n'avait pas respecté le code de la santé publique. En effet, celui-ci impose d'une part, au candidat à l'agrément de mettre en œuvre une politique de sécurité assurant la confidentialité des données et leur protection contre les accès non autorisés et d'autre part, de prévenir le Ministre de la santé de tout changement affectant les informations fournies lors de la candidature.
En prétendant chiffrer toutes les données médicales, ce qui s'était révélé inexact et mensonger, et en n'informant pas le Ministre de la santé d'un tel changement, la société n'avait pas respecté le code de la santé publique et traitait donc les données de manière illicite.