Par délibération du 5 septembre 2024, la CNIL a sanctionné la société CEGEDIM SANTE d’une amende de 800.000 euros aux motifs de l’absence d’autorisation nécessaire aux fins de traitement de données de santé et de manquement au principe de licéité.
La société CEGEDIM SANTE édite et vend des logiciels de gestion aux médecins de ville exerçant en cabinet et certains centres de santé, et notamment, le logiciel CROSSWAY qui permet aux médecins de gérer leur agenda, les dossiers de leurs patients et leurs prescriptions.
La société propose aux médecins utilisant de logiciel, en contrepartie notamment d’une remise sur la licence de celui-ci, d’adhérer à un observatoire en vue de collecter des données issues de dossiers patients, lesquelles sont ensuite utilisées dans le cadre d’études et de statistiques dans le domaine de la santé par des clients de la société CEGEDIM SANTE.
En substance, la CNIL reproche à la société CEGEDIM SANTE de ne pas avoir obtenu d’autorisation aux fins de traitements de ces données de santé et d’avoir manqué au principe de licéité du RGPD.
La décision de la CNIL est intéressante à plusieurs égards :
En premier lieu, la CNIL rappelle que le règlement général sur la protection des données (« RGPD ») s’applique aux données pseudonymisées. En effet, une partie de l’argumentation de la société CEGEDIM consistait à indiquer que les données traitées sont anonymes et dès lors ne sont pas soumises au RGPD. Néanmoins, la CNIL sur la base d’une argumentation étayée considère que les données traitées par la société CEGEDIM SANTE sont pseudonymes et pas anonymes. La CNIL pour ce faire effectue une analyse factuelle des données traitées par la société CEGEDIM SANTE au regard de l’avis du groupe de travail Article 29 (devenu Comité européen de la protection des données) sur les techniques d’anonymisation qui indique qu’un processus peut notamment être qualifié d’anonymisation lorsqu’il résiste aux trois types de risques suivants : l’individualisation, la corrélation et l’inférence.
S’agissant des données des patients, la CNIL indique qu’il est possible d’isoler un individu au sein de la base de données dans la mesure où les données sont reliées à un identifiant unique pour chaque patient d’un même médecin et qu’il était possible de reconstituer le parcours de soins de ce patient. La CNIL en a ainsi déduit que le risque que l’identité d’une personne puisse être retrouvée était trop élevé pour permettre à la société de prétendre que les données traitées étaient anonymes.
L’enjeu était ainsi crucial pour la société CEGEDIM SANTE dans la mesure où le caractère anonyme des données lui aurait permis d’échapper à l’application du RGPD.
En deuxième lieu, la société a tenté – en vain – d’argumenter que celle-ci n’intervenait qu’en qualité de sous-traitant de donnés à caractère personnel considérant ainsi qu’elle ne poursuivait aucune finalité propre et intervenait en seule qualité d’intermédiaire entre les médecins et ses clients.
Sans surprise, la CNIL écarte l’argumentation de la société notant tout d’abord que la société se désignait elle-même responsable du traitement de son observatoire dans l’analyse d’impact conduite par ses soins. La CNIL considère par ailleurs qu’elle détermine les finalités – en indiquant notamment au sein de ses contrats les finalités et l’utilisation des données – et les moyens du traitement – en détaillant les moyens de collecte et de transmission des données –.
En troisième lieu, la CNIL rappelle que les traitements de données concernant la santé sont soumis à une section spécifique de la loi Informatique et Libertés. Rappelons tout d’abord que le RGPD prévoit de laisser aux états membres une marge de manœuvre pour préciser certaines règles dont celles relatives au traitement de données sensibles. La France a ainsi prévu des dispositions spécifiques à cet effet. Ainsi, le traitement de données de santé est prévu par les articles 64 et suivants de la loi Informatique et libertés et reprend ainsi certaines obligations de formalités préalables. A noter toutefois que certaines catégories de traitement ne sont pas soumises à ces dispositions et notamment les traitements de données de santé fondés sur le consentement ou nécessaires aux fins de médecine préventive, de diagnostics médicaux, d’administration de soins ou de traitements.
L’article 66 de la loi Informatique et Libertés impose donc aux responsables de traitement dont les traitements ne sont pas conformes notamment à un référentiel établi par la CNIL de solliciter une autorisation auprès de cette dernière.
Au cas présent, la CNIL reproche à la société CEGEDIM SANTE d’avoir traité des données à caractère personnel sans obtenir préalablement l’autorisation précitée.
En quatrième et dernier lieu, la CNIL reproche à la société CEGEDIM SANTE un manquement au principe de licéité en vertu duquel les données doivent être traitées de manière licite, loyale et transparente. Au cas présent, il est reproché à la société son utilisation du téléservice « HRi » de l’assurance maladie. Ce service permet d’accéder à l’historique des remboursements de santé effectué par l’assurance maladie au cours des douze derniers mois concernant un patient. Dans l’utilisation faite par la société CEGEDIM SANTE, il n’était pas possible pour les médecins de simplement consulter les données dans la mesure où la consultation entrainait automatiquement le téléchargement dans le dossier du patient, et donc, permettait l’aspiration par la société CEGEDIM SANTE. C’est donc ce que reproche la CNIL à la société.
Au total, la société se voit donc reprocher un manquement à l’article 66 de la loi Informatique et Libertés s’agissant du défaut d’autorisation liée à l’utilisation de données de santé et un manquement à l’article 5.1 du RGPD lié au principe de liceité du traitement. La société se voit donc infliger une amende de 800.000 euros.
Cette décision démontre ainsi l’importance de bien identifier les rôles et les responsabilités de chacun des acteurs dans la mise en œuvre des traitements afin de tirer toutes les conséquences afférentes à la qualification de responsable de traitement. Cette décision est par ailleurs l’occasion d’éclairer le régime spécifique prévu par la loi Informatique et Libertés en matière de traitement de données de santé.
Le cabinet se tient à disposition des organismes pour les accompagner dans la mise en œuvre de leurs projets numériques et dans la sécurisation des traitements impliquant des données de santé.