L’éditeur Cegedim écope d’une lourde amende pour l’utilisation des données de santé générées par 2 000 médecins
La Commission nationale de l’informatique et des libertés (Cnil) a sanctionné l’éditeur de logiciels de gestion d’une amende de 800 000 euros pour l’utilisation sans son autorisation de données de santé dans le cadre de son observatoire épidémiologique. Pointant un "désaccord d'experts sur le caractère anonyme des données", Cegedim Santé clame sa bonne foi et envisage de faire appel.
Au regard de "la gravité des manquements retenus", "du caractère massif du traitement", du fait que les données concernées sont des données "sensibles", et des "capacités financières de la société", la formation restreinte de la Cnil a sanctionné le 5 septembre l'éditeur de logiciels de gestion Cegedim Santé à une amende de 800 000 euros. "Les contrôles réalisés par la Cnil en 2021 ont notamment permis de révéler que la société avait traité sans autorisation des données de santé non anonymes, transmises à ses clients en vue de produire des études et des statistiques dans le domaine de la santé", expose un communiqué de l'autorité indépendante, daté du jeudi 12 septembre.
Les données concernées étaient collectées via le logiciel Crossway par 2 000 médecins volontaires pour participer au programme de recherche de l'Observatoire épidémiologique de Cegedim. La formation restreinte a relevé que de 2018 (année de mise en œuvre du RGPD) à 2021, la société "collectait de très nombreuses données sur les personnes concernées, telles que l’année de naissance, le sexe, la catégorie socio-professionnelle, les allergies, les antécédents médicaux, la taille, le poids, le diagnostic, les prescriptions médicales, les arrêts de travail et les résultats d’analyse", détaille le communiqué.
"Ces données étaient reliées à un identifiant unique pour chaque patient d’un même médecin, permettant de relier entre elles les données transmises successivement par un même médecin concernant ce même patient et de reconstituer ainsi son parcours de soins." Compte tenu du fait qu'il était possible d'"isoler un individu au sein de la base de données", "de combiner" les données détenues par Cegedim "avec des données détenues par des tiers", "la formation restreinte a considéré que le risque que l’identité d’une personne puisse être retrouvée était trop élevé pour que les données traitées par la société soient considérées comme anonymes." Il s'agissait, pour elle, de données "pseudonymes".
Un possible recours devant le Conseil d'Etat
Les données n'étant pas anonymes et considérées, par conséquent, comme personnelles, la réglementation (RGPD) s'applique ; Cegedim aurait notamment dû formuler une demande d'autorisation auprès de la Cnil "permettant d’évaluer si le traitement en cause était nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique ou nécessaire à des fins de recherche scientifique".
Dans un communiqué, Cegedim Santé reproche à la Cnil de "jeter l'opprobre" "sur l’ensemble de ses logiciels alors que seul un usage particulier par 2 000 utilisateurs panélistes du logiciel Crossway et, de surcroit, sur une période limitée est concerné". La société précise que la Cnil "avait connaissance du traitement depuis de très nombreuses années" et "ne remet pas en cause la robustesse des process, la sécurité des données, ou l’utilisation qui en est faite, ni la poursuite des activités de ce programme de recherche". Cegedim souligne que c'est "le non accomplissement de cette formalité administrative, lié à un désaccord d’experts sur le caractère anonyme des données sur cette version ancienne du logiciel, qui justifie pour la Cnil le prononcé de la sanction plus de trois ans après le contrôle réalisé".
Désormais "en conformité", la société regrette que la Cnil ait choisi la "voie répressive malgré la transparence et la collaboration dont Cegedim Santé a toujours fait preuve depuis plus de 20 ans concernant les modalités de mise en œuvre de ses activités" et "examine la possibilité" de contester la décision devant le Conseil d'Etat.
La sélection de la rédaction
Faut-il octroyer plus d'autonomie aux infirmières ?
Angélique Zecchi-Cabanes
Oui
Pourquoi pas? À partir du moment où elles ont la responsabilité totale de ce qu’elles font et que les médecins généralistes n’ont ... Lire plus