Blog Sciences du vivant
La société CEGEDIM SANTE sanctionnée par la CNIL pour avoir traité des données personnelles de santé sans autorisation
Dans une décision du 5 septembre 2024, la CNIL a condamné la société CEGEDIM SANTE au paiement d’une amende d’un montant de 800 000 euros.
Cette société édite et vend des logiciels de gestion aux médecins exerçant en cabinet (environ 25 000) et en centre de santé (environ 500) leur permettant de gérer leurs agendas, prescriptions et dossiers patients.
Après avoir procédé à plusieurs contrôles, la CNIL constate que des données de santé non anonymes ont été traitées sans autorisation et transmises à des clients en vue de produire des études et des statistiques dans le domaine de la santé.
Sur la qualification d’entrepôt de données de santé
CEGEDIM SANTE soutenait que le traitement mis en œuvre n’était pas un entrepôt de données de santé mais simplement un réseau de médecins panélistes acceptant de transmettre des données issues de leurs dossiers médicaux aux partenaires de CEGEDIM SANTE.
Or la CNIL rappelle que la notion d’entrepôt de données de santé n’est pas inscrite dans la Loi n°78-17 du 6 janvier 1978 dite Informatique et Libertés mais qu’il s’agit d’une construction doctrinale résultant d’un faisceau d’indices. Parmi les indices relevés comptent la durée de conservation des données, la finalité du traitement ou les données concernées. Au regard de l’ensemble de ces éléments la CNIL considère qu’au moment des contrôles, CEGEDIM SANTE constituait un entrepôt de données de santé. Cette qualification entraine l’application d’un régime juridique spécifique pour lequel chaque projet d’étude doit être mené en conformité avec des dispositions spécifiques (engagement à une méthodologie de référence, à défaut demande d’autorisation auprès de la CNIL).
Sur le caractère anonyme des données de santé traitées
Dans le cadre de son « observatoire », CEGEDIM SANTE propose à un panel de médecins de collecter des données (date de naissance, sexe, catégorie socio-professionnelle, allergies, antécédents médicaux, taille, poids, prescriptions, arrêts de travail et résultats d’analyse de patients) pour que des clients de CEGEDIM SANTE puissent les réutiliser notamment à des fins d’études.
Le caractère anonyme des données a été débattu. Contrairement à la pseudonymisation [1] consistant à remplacer les données directement identifiantes (nom, prénom) par un jeu de données indirectement identifiantes (alias, numéro séquentiel), l’anonymisation empêche toute possibilité d’identification ou de réidentification des données d’une personne.
L’actuel Comité européen de la protection des données (ancien G29) indique dans son avis 05/2014 qu’un processus peut être qualifié d’anonymisation lorsqu’il résiste aux risques d’individualisation [2], de corrélation [3] et d’inférence [4].
Mais cet avis, éclairé par une jurisprudence que la Commission rappelle dans sa décision, doit également s’apprécier au regard des moyens raisonnables mis en œuvre pour démontrer que la réidentification n’est pas possible c’est-à-dire que les risques de réidentification sont négligeables.
Dans le cas d’espèce, CEGEDIM SANTE associait les données médicales et administratives d’un même patient à un identifiant unique. Puis, ces données chiffrées étaient extraites périodiquement du flux CROSSWAY utilisé par CEGEDIM SANTE pour constituer un second fichier sur le poste du médecin avec l’attribution d’un deuxième identifiant. Et c’est ce deuxième identifiant qui apparaît dans les bases communiquées à CEGEDIM SANTE. Il permet donc de reconstituer l’ensemble du parcours de soin d’un patient dans plusieurs cabinets médicaux. Le risque de réidentification étant ainsi induit, l’éditeur n’a pas su démontrer l’absence de risque de réidentification, l’autorité a donc pu conclure à une simple pseudonymisation de données.
Les conséquences de l’absence d’anonymisation
Le Règlement (UE) 2016/679 du 27 avril 2016 dit RGPD ainsi que la Loi n°78-17 du 6 janvier 1978 dite Informatique et Libertés ne s’appliquent par principe qu’aux données à caractère personnel, excluant dès lors les données anonymes de leurs champs d’application. La question sous-jacente était donc bien celle de l’applicabilité de la règlementation au traitement mis en œuvre par CEGEDIM SANTE. En l’espèce, le caractère pseudonyme des données a pour effet de rendre la règlementation applicable et a permis à la CNIL de sanctionner la société sur différents manquements.
La loi Informatique et Libertés (article 66) prévoit tout d’abord que les traitements de données personnelles dans le domaine de la santé ne peuvent être mis en œuvre qu’après autorisation de la CNIL ou à la condition d’être conformes à un référentiel mentionné. La formation restreinte a considéré que CEGEDIM SANTE ne s’est pas conformée à cette obligation en ce qu’elle n’a, ni formulé de demande d’autorisation auprès de la CNIL, ni adressé à la CNIL de déclaration de conformité aux référentiels mentionnés.
La CNIL a ensuite retenu un manquement à l’article 5.1.a du RGPD relatif au traitement licite, loyal et transparent des données à caractère personnel. En effet dès lors qu’un médecin était participant à « l’observatoire » la simple consultation des données patients par le professionnel de santé entrainait la collecte automatique des données y compris dans le cadre de la consultation du service de l’assurance maladie Sur l’historique de remboursement (HRi).
La CNIL a donc sanctionné l’ensemble de ces manquements à hauteur de 800 000 euros en tenant compte des critères suivants : capacités financières de la société, gravité des manquements retenus, caractère massif du traitement, caractère sensible des données traitées, qualification de responsable de traitement de CEGEDIM SANTE au moment des faits (CEGEDIM SANTE n’est actuellement plus responsable de ce traitement).
[2] Selon le G29, le risque d’individualisation correspond à la possibilité d’isoler une partie ou la totalité des enregistrements identifiant un individu dans l’ensemble des données
[3] Selon le G29, le risque de corrélation consiste en la capacité de relier entre elles, au moins, deux enregistrements se rapportant à la même personne concernée ou à un groupe de personnes concernées
[4] Selon le G29 le risque d’inférence est la possibilité de déduire, avec un degré de probabilité élevé, la valeur d’un attribut à partir des valeurs d’un ensemble d’autres attributs.