La CNIL, dans une décision du 5 septembre 2024, a infligé une amende de 800 000 euros à la société Cegedim Santé, éditrice de logiciels de gestion pour médecins de ville, pour avoir traité des données de santé sans autorisation.
“La formation restreinte a relevé que CEGEDIM SANTÉ collectait de nombreuses données sur les personnes concernées, telles que l’année de naissance, le sexe, la catégorie socio-professionnelle, les allergies, les antécédents médicaux, la taille, le poids, le diagnostic, les prescriptions médicales, les arrêts de travail et les résultats d’analyses” rapporte la CNIL.
La CNIL estime que le dispositif mis en place permettait de retrouver et identifier les patients. “Ces données étaient associées à un identifiant unique pour chaque patient d’un même médecin, permettant de relier les données transmises successivement par le médecin à propos de ce patient et de reconstituer ainsi son parcours de soins“. L’éditeur commet alors un manquement à la licéité de traitement de l’article 5.1.a du RGPD en utilisant le téléservice « HRi » mis en place par l’assurance maladie, qui permet d’accéder à l’historique des remboursements de santé effectués par l’assurance maladie pour un patient sur les douze derniers mois.
De plus, la CNIL note que les obligations légales de demander une autorisation ou de se conformer à un référentiel n’ont pas été respectées, et que l’éditeur de logiciel a également collecté des données de manière illicite via un téléservice de l’assurance maladie. Ce situation est contraire à la loi Informatique et Libertés (article 66.III).
Cette sanction a été prononcée en tenant compte de la gravité des manquements et des capacités financières de l’entreprise.
Cegedim Santé, contestant cette décision, déclare que “la CNIL estime que ce traitement aurait dû faire l’objet de formalités préalables pour la période allant de 2018 (adoption du RGPD) à 2021 (date du contrôle). Pourtant, la CNIL, qui connaissait ce traitement depuis longtemps, ne remet pas en cause la robustesse des processus, la sécurité des données ou leur utilisation, ni la poursuite des activités du programme de recherche“.
C’est le non-respect de cette formalité administrative, en raison d’un désaccord d’experts sur l’anonymat des données dans cette ancienne version du logiciel, qui justifie, selon la CNIL, la sanction plus de trois ans après le contrôle. La CNIL précise dans son communiqué que Cegedim Santé est désormais en conformité avec la réglementation. “En conséquence, et compte tenu de la jurisprudence européenne, Cegedim Santé envisage de contester la décision de la CNIL devant le Conseil d’État” précise l’éditeur.
Cegedim Santé déplore également la formulation du communiqué publié sur le site de la CNIL, estimant qu’il ternit l’image de l’ensemble de ses logiciels, alors qu’il ne concerne qu’un usage spécifique par 2 000 utilisateurs du logiciel Crossway, et sur une période limitée.
Patrice Remeur