La Cnil inflige une amende de 800K€ à Cegedim Santé

L’entité de Cegedim regroupant ses activités de logiciels pour médecins et de prise de rendez-vous médicaux a été épinglée par la Commission nationale de l’informatique et des libertés. Une amende de 800 000 € a été prononcée à son encontre pour avoir traité sans autorisation des données de santé non anonymes pour produire des études et des statistiques.

Créé en 2021 par le regroupement de Cegedim Logiciels Médicaux, de RM Ingénierie, de Médimust et de Maiia, Cegedim Santé édite des logiciels pour les médecins, la prise de rendez-vous et de suivi patient. Cette entité du groupe Cegedim est également propriétaire de Resip, éditeur de la base de données Claude Bernard sur les médicaments et les produits de santé. Environ 25 000 cabinets médicaux et 500 centres de santé utilisent ces logiciels qui permettent aux médecins de gérer leur agenda, les dossiers de leurs patients et leurs prescriptions.

Des contrôles menés par la Cnil en 2021 ont permis de révéler que Cegedim Santé avait traité sans autorisation des données de santé non anonymes, transmises à ses clients en vue de produire des études et des statistiques dans le domaine de la santé. Dans le cadre de ses investigations, l’organisme de contrôle a établi que les données étaient en réalité uniquement pseudonymisées, permettant techniquement de réidentifier les personnes concernées. « S’agissant d’un traitement de données personnelles, la société aurait dû disposer d’une autorisation de la Cnil pour les utiliser (article 66.III de la loi Informatique et Libertés) », a indiqué l’instance.

Un parcours de soins reconstituable

Suite à ces manquements (obligation d’effectuer les formalités préalables dans le domaine de la santé et traiter les données de manière licite au regard des capacités financières du groupe), de la gravité des manquements retenus, du caractère massif du traitement et du fait que les données concernées sont de santé et donc sensibles, la Cnil a décié de frapper fort. Une amende de 800 000 € a ainsi été prononcée par la formation restreinte de la commission.

« Cegedim Santé collectait de très nombreuses données sur les personnes concernées, telles que l’année de naissance, le sexe, la catégorie socio-professionnelle, les allergies, les antécédents médicaux, la taille, le poids, le diagnostic, les prescriptions médicales, les arrêts de travail et les résultats d’analyse. Ces données étaient reliées à un identifiant unique pour chaque patient d’un même médecin, permettant de relier entre elles les données transmises successivement par un même médecin concernant ce même patient et de reconstituer ainsi son parcours de soins », souligne l’organisme de contrôle.

chevron_left
chevron_right