Données personnelles : La CNIL sanctionne la société CEGEDIM SANTE d’une amende de 800 000 euros
Par Akossiwa Glory Debora KWADZO
Consultante stagiaire
FINEGAN
Posté le: 21/09/2024 1:20
Le 5 septembre 2024, La Commission nationale de l’informatique et des libertés a sanctionné la société CEGEDIM SANTE d’une amende de 800 000 euros. La société CEGEDIM SANTE fait partie du groupe CEGEDIM, spécialisé dans la gestion des flux numériques de l’écosystème santé entre professionnels et dans la conception de logiciels métier, destinés notamment aux professionnels de santé. Son activité consiste à éditer et vendre des logiciels de gestion aux médecins de ville exerçant en cabinets et en centres de santé. Celle-ci édite notamment le logiciel CROSSWAY, qui permet aux médecins de gérer leur agenda, les dossiers de leurs patients et leurs prescriptions. Un contrôle dans les locaux de cette société a montré des manquements à la Loi Informatique et Libertés ainsi qu’au Règlement général sur la protection des données (RGPD). Plus précisément, il est reproché à la société d’avoir manqué à l’obligation d’effectuer les formalités préalables dans le domaine de la santé (I) ainsi que celle de traiter les données de manière licite (II).
I-Le manquement à l’obligation de formalités préalables dans le domaine de la santé
L’obligation d’effectuer des formalités préalables avant le traitement des données de la santé découle de l’article 66 de la loi Informatique et Libertés. En effet, les données de santé considérées comme des données sensibles, leur traitement mérite une vigilance particulière. Avant de pouvoir les traiter, les responsables de traitement doivent effectuer certaines formalités préalables afin d’obtenir l’autorisation de la Commission nationale de l’informatique et des libertés. Ces formalités préalables permettent de s’assurer que le traitement projeté respecte les principes fondamentaux de la protection des données. Il existe principalement deux types de formalités : l’autorisation préalable et la déclaration.
L’autorisation est nécessaire dans certains cas comme lorsque les données de santé sont traitées dans le cadre d’une recherche médicale, d’une étude ou d’une évaluation à des fins de santé publique. En revanche, dans d’autres cas, la simple déclaration suffit, surtout si les traitements sont encadrés par des garanties spécifiques, comme des actes réglementaires ou méthodologies de référence définies par la CNIL.
En l’espèce, il a été constaté que la société CEGEDIM SANTE collectait des données pseudonymisées issues des dossiers patients informatisés, transmis par les médecins panélistes via le flux CROSSWAY, afin de se constituer un entrepôt de données de santé. En l’absence de recueil du consentement des personnes concernées au versement de leurs données dans un entrepôt de données de santé (en application de l’article 9, paragraphe 2, a) du RGPD), la constitution d’un tel entrepôt est soumise à des formalités préalables auprès de la CNIL. Cependant, la société CEGEDIM SANTÉ n’a présenté aucune demande d’autorisation concernant le traitement en cause et n’a adressé à la CNIL aucune déclaration attestant de la conformité du traitement à un référentiel au sens du paragraphe II de l’article 66 de la loi Informatique et Libertés.
Le rapporteur en a conclut que la société a méconnu les obligations prévues à l’article 66 de la loi Informatique et Libertés dans le domaine de la santé car en vertu de celui-ci, les traitements de données à caractère personnel dans le domaine de la santé, dont font partie les entrepôts de données de santé, ne peuvent être mis en œuvre qu’après autorisation de la CNIL ou à la condition d’être conformes à un référentiel mentionné au II de cet article et ce, au regard de l’intérêt public qu’ils présentent.
II- Le manquement à l’obligation de traiter les données de manière licite
Aux termes de l’article 5, paragraphe 1, a) du RGPD, « Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée ». La licéité suppose que le traitement des données personnelles doit s’appuyer sur une base légale valide telle que le consentement de la personne concernée, l’exécution d’un contrat, une obligation légale, l’intérêt légitime du responsable du traitement. La loyauté suppose que le traitement doit être effectué de manière équitable vis-à-vis de la personne concernée. Quant à la transparence, elle suppose que les personnes concernées doivent être informées de manière claire et compréhensible sur la manière dont leurs données sont traitées.
Par ailleurs, l’article L. 162-4-3 du Code de la sécurité sociale dispose que « les médecins peuvent, à l'occasion des soins qu'ils délivrent et sous les conditions prévues à l'article L. 161-31, consulter les données issues des procédures de remboursement ou de prise en charge qui sont détenues par l'organisme dont relève chaque bénéficiaire de l'assurance maladie. Dans ce cas, ils en informent préalablement le patient. Le bénéficiaire des soins donne son accord à cet accès en permettant au médecin d'utiliser, à cet effet, le moyen d'identification électronique mentionné à l'article L. 161-31. Le relevé des données mis à la disposition du médecin contient les informations nécessaires à l'identification des actes, produits ou prestations pris en charge pour les soins délivrés en ville ou en établissement de santé, au regard notamment des listes mentionnées aux articles L. 162-1-7, L. 165-1 et L. 162-17. Il comporte également le code prévu pour les identifier dans ces listes, le niveau de prise en charge et, pour les patients atteints d'une affection de longue durée, les éléments constitutifs du protocole de soins mentionné au septième alinéa de l'article L. 324-1. […] ».
L’article R. 162-1-10 du même code dispose quant à lui que pour l'application de l'article L. 162-4-3, les organismes gestionnaires des régimes de base d'assurance maladie assurent, à l'usage des médecins conventionnés ou exerçant leur activité dans un établissement ou un centre de santé, à l'occasion des soins qu'ils délivrent, la mise en œuvre d'un service de consultation par voie électronique des informations afférentes aux prestations délivrées à leurs bénéficiaires.
Pour la mise en œuvre de ces dispositions, l’assurance maladie a mis en place, notamment, deux téléservices :
-Le téléservice HRi : informations relatives à l’historique des remboursements de santé effectués par l’assurance maladie pour un patient sur les douze derniers mois ;
- Le téléservice ALDi : données relatives aux affections longue durée (ALD) reconnues par l’assurance maladie pour un patient (notamment la date de la consultation, le code de l’ALD, les dates de début et de fin de l’ALD et l’information selon laquelle l’ALD est prise en charge).
En l’espèce, la délégation de contrôle a constaté que, parmi les données transmises par le flux CROSSWAY à la société CEGEDIM SANTÉ, figurent des données issues de ces deux téléservices. Ces informations étaient soit issues de l’interrogation des téléservices ou soit directement renseignées par les médecins. Or, les dispositions du Code de la sécurité sociale et du Code de la santé publique prévoient uniquement un droit de consultation des données contenues dans les téléservices mis en place par la Caisse nationale d’assurance maladie (CNAM) par des professionnels habilités. Elles ne prévoient pas la possibilité pour un acteur privé, par l’intermédiaire du médecin, de collecter directement ces données depuis les téléservices.
Selon le rapporteur, la difficulté ne réside pas dans le fait que le médecin accède aux données des téléservices HRi et puisse les verser dans le dossier informatisé patient mais dans le fait qu’à partir du moment où le médecin y accède, la société CEGEDIM SANTÉ se voit transmettre les données automatiquement, sans que le médecin ait jugé nécessaire que ces informations figurent dans le dossier du patient au sein de son logiciel de travail, en procédant lui-même à leur intégration dans le dossier.
Dans ces conditions, la collecte de ces données par CEGEDIM SANTÉ est illicite et est effectuée en violation de l’article 5, paragraphe 1, a) du RGPD.