Deux médecins se sont vus infliger des amendes de 3000 € et 6000 € par la Cnil pour avoir laisser fuiter des images médicales de leurs patients sur internet. Ils avaient mal configuré leur logiciel d’imagerie et leur box internet. De plus, ils n’ont pas notifié la Cnil de la violation des données.
Des milliers d’images librement accessibles
L’accès aux images a été constaté à la suite d’un contrôle en ligne réalisé en septembre 2019. La Cnil a relevé que des milliers d’images médicales hébergées sur des serveurs appartenant aux deux médecins libéraux étaient librement accessibles sur internet.
Les médecins ont reconnu que les violations de données avaient pour origine un mauvais choix de configuration de leur box internet ainsi qu’un mauvais paramétrage de leur logiciel d’imagerie médicale. Les images médicales conservées sur leurs serveurs n’étaient pas systématiquement chiffrées.
La Cnil considère que les deux médecins se sont affranchis des principes élémentaires en matière de sécurité informatique. Ils auraient du respecter l’obligation de sécurité des données (article 32 du RGPD). Cela concerne le fait de s’assurer que la configuration de leurs réseaux informatiques ne conduisait pas à rendre les données librement accessibles sur Internet et à procéder au chiffrement systématique des données personnelles hébergées sur leurs serveurs.
Absence de notification de la violation de données à la Cnil
De plus, les médecins n’ont pas notifié la Cnil des violations de données alors que c’est obligatoire (article 33 du RGPD). Les deux médecins auraient du effectuer ces notifications obligatoires après avoir appris que les images médicales de leurs patients étaient librement accessibles sur Internet.
La Cnil rend ces décisions publiques pour alerter les professionnels de santé sur la nécessité d’être vigilants sur les mesures de sécurité apportées aux données personnelles qu’ils traitent.
La Cnil demande que les professionnels choisissent les solutions applicatives présentant le maximum de garanties en termes de sécurité informatique et de protection des données personnelles. Cela doit inciter à la prudence au moment du paramétrage de leur système informatique interne, en recourant de prestataires compétents en la matière.