1. Les pouvoirs de contrôle de la CNIL.
La CNIL [1] a le pouvoir de contrôler tous les organismes qui traitent des données à caractère personnel, en application de l’article 8 de la loi Informatique et libertés.
L’autorité administrative peut ainsi contrôler les professionnels de santé car ceux-ci collectent et manipulent des données personnelles (des nom, prénom, date de naissance, état de santé etc. ) concernant leurs patients, leurs salariés, remplaçants, collaborateurs etc.
Conformément à l’article 19 de la loi Informatique et libertés, les contrôles de la CNIL peuvent prendre plusieurs formes :
- sur place, dans les locaux de l’organisme concerné, entre 6 heures et 21 heures ;
- sur pièces ;
- sur convocation (ou « sur audition ») ;
- en ligne.
Lors d’un contrôle sur place les agents de la CNIL peuvent demander communication de « tous documents nécessaires à l’accomplissement de leur mission » [2].
Néanmoins, la CNIL ne pourra obtenir communication de données médicales que sous l’autorité et en présence d’un médecin.
Elle a publié une cartographie [3] permettant de visualiser les contrôles qu’elle a réalisés depuis 2014.
2. Les sanctions des professionnels de santé en 2024.
A la suite d’un contrôle, la CNIL peut constater que l’organisme respecte les lois applicables en matière de protection des données personnelles et clôturer le contrôle ou entamer une procédure de sanction et prononcer, notamment :
- un rappel à l’ordre,
- une mise en demeure de se mettre en conformité dans des délais définis,
- une injonction de se mettre en conformité,
- une limitation du traitement de données ou son interdiction,
- une amende administrative dont le montant peut s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial/
En 2024, la CNIL a prononcé 84 sanctions cumulant 55 212 400 euros d’amendes.
Parmi les personnes sanctionnées [4] on dénombre :
3 chirurgiens-dentistes, dont deux sanctionnés pour défaut de sécurité des données et non respect du droit d’accès à des amendes de 5 000 euros et 4 000 euros, et l’un pour non respect du droit d’accès au dossier médical et défaut de coopération avec la CNIL à une amende de 3 000 euros, avec injonction ;
3 médecins généralistes, dont deux sanctionnés pour non respect du droit d’accès au dossier médical et défaut de coopération avec la CNIL à des amendes de 3 000 et 4 000 euros et l’un à une amende de 2 000 euros pour absence de réponse à l’injonction de se mettre en conformité ;
1 stomatologue sanctionné à 5 000 euros d’amende pour non respect du droit d’accès au dossier médical et défaut de coopération avec la CNIL ;
1 orthophoniste sanctionné à une amende de 4 000 euros suite à l’absence de réponse à une injonction.
Dans le secteur de la santé, il faut également noter l’amende de 15 000 euros pour défaut de coopération avec la CNIL infligée une clinique, et celle de 20 000 euros prononcée à l’encontre d’un groupement régional d’appui au développement de la e-santé pour manquement aux obligations en matière de traitements de données dans le domaine de la santé et absence d’encadrement des relations entre le responsable de traitement et le sous-traitant.
Par ailleurs, l’amende prononcée envers une société éditrice de logiciel de gestion aux médecins (Délibération de la formation restreinte n°SAN-2024-013 du 5 septembre 2024 concernant la société Cegedim Santé), d’un montant de 800 000 euros a particulièrement marqué l’année 2024.
Les manquements qui lui étaient reprochés sont l’absence de demande d’autorisation auprès de la CNIL alors qu’elle avait mis en place un entrepôt de données de santé, et le manquement à l’obligation de traiter des données de façon licite.
La société concernée a précisé regretter cette nouvelle position doctrinale de la CNIL dans un communiqué de presse [5].
Un organisme de formation destiné aux professionnels de santé a également été sanctionné d’une amende de 15 000 euros, accompagnée d’une injonction, pour les manquements à l’obligation d’information des personnes, au droit à l’effacement, à l’obligation d’encadrer la relation entre responsable de traitement et sous-traitant et pour défaut de sécurité des données.
Enfin, une société de transport ambulancier a écopé d’une amende de 10 000 euros pour défaut de coopération avec la CNIL.
En somme, les sanctions sont prononcées pour manquement au RGPD mais également pour défaut de coopération avec l’autorité de contrôle.
3. La nécessité de se mettre en conformité au RGPD.
Les professionnels de santé, mêmes s’ils exercent à titre individuels, sont soumis au RGPD et doivent prendre les mesures de conformité nécessaires.
Il s’agit principalement de sécuriser les données [6] pour réduire les risques de violation de données [7], respecter les droits des personnes et s’assurer que les contrats passés avec les sous-traitants soient conformes.
Pour cela, il est utile de questionner, lorsqu’il existe, son délégué à la protection des données [8] (DPD ou DPO) ou un spécialiste pour être sensibilisé à la matière et mettre en place des procédures appropriées.
En tout état de cause, l’intérêt de la CNIL pour le secteur de la santé se poursuivra notamment en raison du développement de l’intelligence artificielle [9] dans ce secteur, comme elle le souligne dans son Plan stratégique 2025-2028 [10].
Discussion en cours :
Très bel article, clair pour les non initiés. J’ai dû mettre en application la RGPD et sans support ça n’a pas été simple. J’ai vu l’importance que cette mesure apporte.
Bravo !