Nous utilisons nos propres cookies et ceux de tiers à des fins statistiques et d'amélioration du site web. Veuillez sélectionner ci-dessous les cookies que vous souhaitez accepter ou refuser. Si vous poursuivez votre navigation sans sélectionner de cookies, cela équivaut à refuser les cookies. Pour plus d'informations, veuillez consulter notre politique de confidentialité.



Données personnelles sensibles – Données de santé CEGEDIM SANTÉ condamnée à une amende de 800.000€ par la CNIL

PrintMailRate-it

​​​publié le 5/11/2024 - temps de lecture: 4 minutes​​​

​​​​​Un piqûre de rappel sur les risques liés au traitement des données sensibles ! 
Dans le secteur de la santé, la gestion des données sensibles des patients demeure une préoc​cupation majeure. Avec l'essor des solutions digitales, la dépendance croissante aux analyses de données et la multiplicité des partenariats dans ce domaine, garantir la conformité des traitements de données aux règles strictes du RGPD devient un défi de plus en plus pressant.

​​

S_B40429773.jpg
Cette attention renforcée sur la sécurisation des données sensibles a récemment été mise en lumière par la condamnation de CEGEDIM SANTÉ, à une amende de 800 000 euros par la CNIL le 5 septembre 2024, en raison d'absence d'anonymisation suffisante de données de santé dans le cadre de certains traitements.

 

CEGEDIM SANTÉ développe et commercialise des logiciels de gestion à destination des médecins généralistes, utilisés par environ 25 000 cabinets médicaux et 500 centres de santé, facilitant la gestion des rendez-vous, des dossiers patients et des ordonnances.

 

L'entreprise avait invité certains médecins à rejoindre un « observatoire » ad hoc, visant à collecter des données issues de dossiers médicaux sous forme d'identifiants chiffrés, qui seraient ensuite traitées pour des études de santé menées par ses propres clients et partenaires. En contrepartie, ces médecins panélistes pouvaient bénéficier de réductions sur les licences de logiciels et accéder à des informations statistiques précieuses. Il aurait donc fallu mettre en place un traitement de données sensibles dédié et extrêmement sécurisé, avec notamment un aspect « anonymisation » important.

 

Cependant, les contrôles menés par la CNIL en 2021 ont révélé que, dans le cadre de l'utilisation de ce logiciel, des données de santé non (suffisamment) anonymes avaient été traitées sans autorisation des patients concernés. Compte tenu de la gravité des faits et des conséquences dommageables possibles, la sanction est conséquente.

 

Cette décision offre l'occasion de revenir sur trois concepts clés de la réglementation européenne et française, tels que (1) l'anonymisation et la pseudonymisation des données, (2) la notion d'entrepôt de données de santé, et (3) les notions de responsable ou de sous-traitant de traitement. Elle démontre qu'une qualification inappropriée de ces notions peut entraîner (4) des risques élevés et de graves manquements aux réglementations relatives aux données personnelles, méritant des sanctions significatives.


1. Données pseudonymisées et non anonymes

Le traitement des données de santé personnelles est l’un des domaines juridiques les plus sensibles en matière de confidentialité, et donc le plus étroitement surveillé par les autorités. Ces données requièrent des mesures exceptionnelles, telles qu'une AIPD (Analyse d'Impact sur la Protection des Données), un niveau de sécurité spécifique très élevé et, souvent, une anonymisation ou une pseudonymisation.

 

La qualification des données est au cœur de la décision rendue par la CNIL : si les données collectées par CEGEDIM SANTÉ ne sont pas anonymes, elles constituent alors bien des données personnelles de santé, soumises à la rigueur du RGPD. Dans ce contexte, leur traitement doit soit respecter le référentiel dédié et particulièrement strict de la CNIL (et lui être notifié), soit être autorisé par la CNIL.

 

Dans sa décision, la CNIL a d’abord rappelé que la pseudonymisation (tel le codage) permet de ré-identifier les individus par des moyens raisonnables (le décodage) grâce à des informations supplémentaires (la grille de codes), et reste donc soumise au RGPD, tandis que l'anonymisation élimine toute possibilité de réidentification et véhicule donc plus de données personnelles.

 

La CNIL a également précisé, conformément aux orientations du Comité Européen de la Protection des Données (CEPD), qu’un processus ne peut être considéré comme anonyme que s'il résiste à trois épreuves majeures :

 

  1. Individualisation : il ne doit pas être possible d’isoler un individu au sein du jeu de données ;
  2. Corrélation : les données ne doivent pas permettre de relier différents enregistrements à un même individu ;
  3. Inférence : il ne doit pas être possible de déduire ou d’inférer des informations personnelles sensibles à partir des données disponibles.

 

La CNIL a constaté que, dans le système de CEGEDIM SANTÉ :​

  • un volume très significatif de données était collecté sur les patients (y compris leur année de naissance, sexe, catégorie socio-professionnelle, allergies, antécédents médicaux, taille, poids, diagnostic, ordonnances, arrêts de travail, résultats d'examens) via les logiciels utilisés par leur réseau de médecins, mais aussi par le téléservice de l'assurance maladie « Hri » ;​
  • ces données étaient liées à un identifiant unique pour chaque patient d’un même médecin, permettant ainsi de combiner des transmissions successives et de reconstituer effectivement le parcours de soins du patient. Le rapporteur a d’ailleurs pu retracer le parcours d’un enfant de 12 ans, atteint d’une maladie de longue durée à partir d’un extrait de données fourni lors des enquêtes !

Au vu de ces éléments, la CNIL a conclu qu’il était possible d’isoler un patient dans la base de données de l’entreprise, laquelle détenait donc une quantité d’informations personnelles particulièrement riche au sujet de celui-ci. Dès lors, le risque de réidentification était réel et même probable.

 

Compte tenu (i) de l’existence d’un l’identifiant unique, (ii) de la profondeur des données collectées par l’entreprise sur un même individu et (iii) de la possibilité de combiner ces données avec des informations tierces, la CNIL a estimé que le risque de ré-identification des individus était trop élevé pour que les données traitées puissent être considérées comme ‘anonymes’. Elle a donc qualifié les données traitées par CEGEDIM SANTÉ de pseudonymes plutôt qu’anonymes, faisant ainsi tomber leur traitement dans l’escarcelle du RGPD.

 

Une piqûre de rappel très utile sur la grande difficulté à pouvoir réellement anonymiser des données de santé, et plus généralement des données sensibles, surtout lorsque les données sont nombreuses et leurs recoupements aussi.


2. "Entrepôt" collecteur de données de santé ou simple ‘réseau’ de médecins indépendants ?

 

Pour éviter de se voir appliquer le régime de responsabilité strict applicable aux « entrepôts de données de santé », considérés comme des bases de données personnelles pérennes — généralement associés au statut de responsable de traitement et à l’obligation de mettre en place des mesures de sécurité augmentées et adaptées — CEGEDIM SANTÉ a soutenu qu'elle faisait simplement intervenir un réseau de médecins indépendants, acceptant de transmettre à ses partenaires des données anonymisées issues de leurs propres dossiers médicaux. À cet égard, CEGEDIM SANTÉ a fait valoir que la nature transitoire du flux de données ainsi généré, dans lequel les données n’étaient conservées que trois mois, démontrait qu'il ne s'agissait pas d'une base de données pérenne tel un entrepôt de données de santé.

 

Cependant, la CNIL, après avoir rappelé qu’un entrepôt de données de santé est un concept purement doctrinal, s’appréciant à l’aide d’un faisceau d’indices, a précisé que la seule nature temporaire du stockage des données sur les serveurs de CEGEDIM n’était pas suffisante pour écarter cette qualification, au regard des critères déterminants suivants : ​

  • la collecte à grande échelle de données de santé,
  • la mise à jour continue de la base de données,
  • la mise à disposition de ces données à des fins de réutilisation.

Par conséquent, la CNIL, ayant caractérisé ces critères dans cette affaire, a conclu que l'entreprise constituait un entrepôt de données de santé au moment du contrôle.


3. Responsable de traitement plutôt que sous-traitant

CEGEDIM SANTÉ considérait qu’elle intervenait en tant que sous-traitant, d’une part, des médecins utilisant son logiciel et, d’autre part, des entreprises partenaires produisant des études et des statistiques. Elle arguait que son rôle se limitait à celui d’un intermédiaire technique, se contentant de transmettre les données des systèmes des médecins à ses partenaires, sans déterminer elle-même les finalités pour lesquelles ces données étaient utilisées.

 

La CNIL, après examen des contrats avec ses partenaires de CEGEDIM SANTÉ, a toutefois constaté que la société définissait bien en réalité :

  • les finalités du traitement des données pour son observatoire (à savoir, la réalisation d’études et la commercialisation des données sous forme de statistiques, tout en excluant toute autre forme de commercialisation), et
  • les moyens du traitement, avec les médecins panélistes (à savoir, les conditions de participation au réseau, les méthodes de transmission des données et la fréquence de collecte des données).​

La CNIL a également précisé que la transmission de données à des partenaires tiers, qui réutilisent ces données à leurs fins propres (agissant ainsi comme responsables de traitement indépendants), ne fait pas obstacle à la qualification de responsable de traitement de la société CEGEDIM SANTÉ, et donc à l’obligation de se conformer aux réglementations relatives à la protection des données personnelles.


​4. Manquements sanctionnés

Les qualifications évoquées précédemment présentent des conséquences majeures, comme en témoigne le premier manquement identifié par la CNIL.

 

Dans la mesure où CEGEDIM SANTÉ ne se considérait pas comme responsable de traitement :

 

  • elle n’avait pas cherché à recueillir le consentement explicite et préalable des patients et des médecins panélistes concernés par la collecte ;
  • elle n’avait adressé à la CNIL aucune déclaration attestant de la conformité du traitement aux référentiels dédiés de la CNIL;​​
  • en l’absence de cadre de référence, elle n’avait pas non plus formulé de demande d’autorisation visant à ce que le traitement en cause soit considéré comme nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique ou nécessaire à des fins de recherche scientifique.

 

Par conséquent, la CNIL a estimé que l’entreprise n’avait pas rempli ses obligations en matière de traitement des données personnelles dans le secteur de la santé, en violation de l’article 66 de la loi Informatique et Libertés.

 

De plus, la CNIL a considéré que la société avait commis un manquement à l’article 5.1.a du RGPD (exigence de traitement licite, loyal et transparent) concernant son utilisation du téléservice « HRi » mis en place par l’assurance maladie, qui permet d’accéder à l’historique des remboursements de santé effectués par l’assurance maladie pour un patient sur les douze derniers mois.

 

La CNIL a en effet observé que, lorsqu'un médecin panéliste accédait à des données via ce téléservice, celles-ci étaient automatiquement téléchargées dans le dossier du patient, ce qui permettait à CEGEDIM SANTÉ de collecter ces informations en temps réel.

 

Par conséquent, la CNIL a considéré qu’en ne prévoyant pas la possibilité plus sécurisante que les données ne puissent être simplement consultées que par les médecins en charge, sans collecte automatique, l’entreprise n’avait pas traité les données de manière licite.

 

Pour ces deux manquements, la CNIL a prononcé une amende de 800 000 euros à l’encontre CEGEDIM SANTÉ, au regard des capacités financières de l’entreprise, de la gravité des manquements retenus, du caractère massif du traitement et de la nature sensible des données de santé concernées.

 ​

Cette décision met en lumière l'importance cruciale, notamment pour les acteurs du secteur de la santé, de faire preuve de la plus grande vigilance lorsque, dans le déploiement de solutions et d’outils logiciels, ils traitent des données sensibles et souhaitent les anonymiser. Cette même vigilance doit s’appliquer à la rédaction des contrats adéquats relatifs à ces traitements. La qualification précise des données ainsi traitées (anonymisées ou pseudonymisées) déterminera si les règles du RGPD s'appliquent et le cas échéant, comment s’y conformer, arbitrage dont découleront les obligations et responsabilités des acteurs concernés.

 

Les entreprises doivent également garder à l'esprit que, en matière de données sensibles et particulièrement de données de santé, assurer une véritable anonymisation est une tâche extrêmement complexe. En effet, le risque, compte tenu des possibilités de ré-identification par recoupement d'informations, est de voir ces données supposément anonymisées requalifiées en données pseudonymisées, régies par le RGPD.

 

Il est vivement recommandé de se faire accompagner lors de la mise en place contractuelle et technique de solutions utilisant des données de santé, et plus largement lors de la conclusion de partenariats cliniques ou de contrats informatiques.

 

Notre cabinet vous accompagne dans la gestion de ces difficiles qualifications ou dans vos négociations et contrats pour vos projets maniant des données sensibles.

Contact

Contact Person Picture

Frédéric Bourguet

Avocat

Associate Partner

+33 6 49 20 15 64
+33 6 4920 1564

Envoyer la demande

Contact Person Picture

Raphaëlle Donnet

Avocate

+33 6 0950 5105

Envoyer la demande

Deutschland Weltweit Search Menu