Acteur établi de l’écosystème de santé français, l’éditeur de logiciels Cegedim Santé a visiblement encore des progrès à faire dans le domaine de la conformité.
L’entreprise, dont les outils sont utilisés dans 25.000 cabinets médicaux, a reçu une sanction de la Cnil.
L’autorité a prononcé une amende de 800 000 euros à l’encontre de la société, une condamnation justifiée par sa capacité financière, mais surtout la gravité des manquements retenus, la sensibilité des données et le caractère massif du traitement associé.
Non anonymisation des données patients
Lors de contrôles effectués de 2021 à 2022, la Cnil a relevé des problèmes. Premièrement, au travers d’un programme d’études nommé l’observatoire, Cegedim procédait à la collecte et au traitement de données de santé.
Les informations faisaient l’objet d’une pseudonymisation et non d’une anonymisation. En clair, la réidentification – “par des moyens raisonnables” – des personnes concernées était techniquement possible, comme la Cnil l’a considéré.
Cegedim procédait donc à un traitement de données personnelles, en outre non déclaré ni autorisé. Conformément à ses obligations, l’éditeur était tenu préalablement au traitement de formuler une demande d’autorisation et d’adresser une déclaration de conformité à l’un de ses référentiels.
“La formation restreinte a considéré que la société ne s’est pas conformée à ces exigences alors qu’elle constituait un entrepôt de données de santé”, a par conséquent jugé l’autorité, retenant ainsi un manquement à la loi Informatique et Libertés.
Le RGPD égratigné par Cegedim
Un second manquement, cette fois au RGPD, a en outre été retenu à l’encontre de l’éditeur de logiciel. Toujours dans le cadre de son observatoire, auquel pouvaient volontairement adhérer des médecins clients, Cegedim a eu accès à des données de l’assurance maladie.
En effet, via ses logiciels, l’entreprise accédait au téléservice « HRi » fournissant l’historique des remboursements de santé effectués pour un patient sur les douze derniers mois.
Comment ? Dès lors qu’un médecin membre de l’observatoire consultait les données du téléservice, celles-ci étaient automatiquement téléchargées dans le dossier patient.
Aspiration automatique de données via HRi
Cette opération se traduisait dès lors et dans le même temps par l’aspiration des données médicales par la société. Pour la Cnil, ce procédé automatisé constitue un “manquement à l’obligation de traiter les données de manière licite” et donc au RGPD.
“La formation restreinte a considéré qu’en ne prévoyant pas la possibilité que les données soient simplement consultées par les médecins sans entraîner une collecte automatique, la société n’avait pas traité les données de manière licite”, a tranché l’autorité.
La Cnil retient ainsi deux symptômes d’un manque de conformité et prescrit à l’éditeur français un traitement sous la forme d’une amende de 800.000 euros. Une pilule sans doute dure à avaler.
Cegedim se défend
Cegedim Santé indique contester la décision de la Cnil. « La CNIL estime que ce traitement aurait dû faire l’objet de formalités préalables, pour la période allant de 2018 (adoption du RGPD) à 2021 (date du contrôle). Pour autant, la CNIL, qui avait connaissance du traitement depuis de très nombreuses années, ne remet pas en cause la robustesse des process, la sécurité des données, ou l’utilisation qui en est faite, ni la poursuite des activités de ce programme de recherche ».
« C’est le non-accomplissement de cette formalité administrative, lié à un désaccord d’experts sur le caractère anonyme des données, sur cette version ancienne du logiciel qui justifie pour la CNIL le prononcé de la sanction plus de 3 ans après le contrôle réalisé ».
Au vu de ces éléments et de la jurisprudence européenne, Cegedim Santé examine la possibilité de contester la décision de la CNIL devant le Conseil d’Etat.