Étudiant, développeur freelance
La Commission Nationale de l'Informatique et des Libertés (CNIL) a infligé une amende de 800000 euros à la société CEGEDIM SANTÉ. Cette sanction fait suite à des traitement de données de santé.
CEGEDIM SANTÉ est une société spécialisée dans l'édition et la vente de logiciels de gestion pour les médecins de ville et les centres de santé. Ces logiciels, utilisés par environ 25000 cabinets médicaux et 500 centres de santé, permettent aux praticiens de gérer leurs agendas, les dossiers patients et les prescriptions.
Les contrôles effectués par la CNIL en 2021 ont révélé que CEGEDIM SANTÉ avait traité sans autorisation des données de santé non anonymes. Ces données étaient transmises à des clients de la société pour produire des études et des statistiques dans le domaine de la santé. La CNIL a établi que ces données n'étaient pas anonymes mais seulement sous forme de pseudo, rendant techniquement possible la réidentification des personnes concernées.
Selon la loi Informatique et Libertés, les traitements de données personnelles dans le domaine de la santé nécessitent une autorisation préalable de la CNIL ou doivent être conformes à un référentiel spécifique. CEGEDIM SANTÉ n'avait pas respecté ces exigences dans la constitution de son entrepôt de données de santé.
La CNIL a prononcé une amende de 800000 euros, tenant compte des capacités financières de la société, de la gravité des manquements, du caractère massif du traitement et de la nature sensible des données de santé concernées. La CNIL n'a pas prononcé d'injonction de mise en conformité, car depuis juillet 2024, CEGEDIM SANTÉ n'est plus responsable du traitement mais uniquement éditrice du logiciel en cause.
Cette sanction souligne l'importance du respect des règles de protection des données personnelles, particulièrement dans le domaine sensible de la santé. Elle met en lumière la nécessité pour les entreprises traitant des données de santé de s'assurer de la conformité de leurs pratiques avec la réglementation en vigueur, notamment en matière d'anonymisation et d'autorisation de traitement.