CEGEDIM SANTÉ, un éditeur de logiciels de gestion dédiés aux médecins et centres de santé, est un acteur majeur dans le domaine des technologies de l’information en santé. Ses solutions sont utilisées par environ 25 000 cabinets médicaux et 500 centres de santé en France, facilitant la gestion des agendas, des dossiers patients, et des prescriptions. Cependant, malgré l’efficacité de ses outils, l’entreprise s’est retrouvée au centre d’une controverse majeure concernant la gestion des données de santé, des informations particulièrement sensibles et strictement encadrées par la réglementation RGPD.

Le contrôle de la CNIL et la découverte des manquements

En 2021, la CNIL a réalisé une série de contrôles sur les pratiques de CEGEDIM SANTÉ, notamment l’utilisation de l’un de ses logiciels par un panel de médecins. Ces investigations ont révélé un problème de taille : la société collectait et transmettait des données de santé non anonymisées à des tiers pour produire des études et des statistiques dans le domaine de la santé, et cela sans autorisation préalable de la CNIL.

Ces données, bien que pseudonymisées, restaient réidentifiables. Ce type de traitement est particulièrement délicat, car il permet, sous certaines conditions, de retrouver l’identité d’une personne à partir des informations collectées, notamment en combinant plusieurs sources de données. Or, le RGPD prévoit les données de santé ne peuvent être traitées qu’avec des garanties strictes, et leur pseudonymisation ne suffit pas à les considérer comme des données anonymes.

Cet article pourrait vous intéresser : En 2024, les TPE/PME sont de plus en plus sanctionnées par la CNIL : on vous explique pourquoi.

La CNIL prononce une amende de 800 000 €

La CNIL a estimé que CEGEDIM SANTÉ avait enfreint plusieurs dispositions RGPD mais également de la loi Informatique et Libertés, qui impose des formalités strictes pour le traitement des données de santé. Parmi les infractions relevées, deux manquements majeurs ont été identifiés :

1. Absence d’autorisation préalable de la CNIL

En France, le traitement des données personnelles de santé est soumis à une autorisation préalable de la CNIL ou à une conformité à l’un de ses référentiels. Dans le cas de CEGEDIM SANTÉ, aucun de ces processus n’avait été respecté. L’entreprise n’a pas demandé à la CNIL une autorisation pour traiter les données à des fins d’études et de statistiques, alors même qu’elle constituait un entrepôt de données de santé important. En effet, des informations sensibles comme l’âge, le sexe, les antécédents médicaux, les diagnostics et les prescriptions étaient collectées sans les garanties adéquates.

2. Un traitement illégal des données

Un autre problème grave concernait l’utilisation du téléservice HRi (Historique des Remboursements Individualisés), mis en place par l’Assurance Maladie pour permettre aux médecins de consulter l’historique des remboursements de leurs patients sur les 12 derniers mois. Lorsqu’un médecin membre de l’« observatoire » consultait ces données, celles-ci étaient automatiquement téléchargées dans le dossier patient et transmises à CEGEDIM SANTÉ, sans possibilité de simple consultation. Cela constituait un traitement non autorisé et non nécessaire des données de santé, enfreignant les principes de licéité et de minimisation des données du RGPD.

L’amende et ses conséquences : un avertissement pour toutes les entreprises

Compte tenu de la gravité des manquements, de la quantité massive de données traitées et du fait qu’il s’agissait de données sensibles (données de santé), la CNIL a infligé une sanction de 800 000 euros à CEGEDIM SANTÉ. Cette amende prend également en compte la capacité financière de l’entreprise, qui est un acteur majeur du secteur, et vise à rappeler à toutes les entreprises, petites ou grandes, l’importance cruciale de respecter les réglementations en matière de protection des données personnelles.

Cet article pourrait vous intéresser : Uber Condamné à 290 Millions d’Euros : Une Amende Historique pour Transferts de Données Hors de l’UE

Que retenir de cette sanction ? 

L’affaire CEGEDIM met en lumière les erreurs à ne pas commettre, particulièrement pour les entreprises qui manipulent des données sensibles comme celles de santé. Voici quelques recommandations pour éviter des sanctions similaires dans votre entreprise :

 1. Assurez-vous que les données sont correctement anonymisées

Si vous traitez de données sensibles, vérifiez que celles-ci sont véritablement anonymisées et non seulement pseudonymisées. L’anonymisation doit rendre impossible toute identification directe ou indirecte des personnes concernées.

2. Demandez les autorisations nécessaires auprès de la CNIL

Pour les traitements de données sensibles, comme dans le secteur de la santé, il est impératif de demander une autorisation spécifique à la CNIL ou de vous conformer à l’un de ses référentiels. Cela vous permet de garantir la légalité de vos pratiques et d’éviter de lourdes sanctions.

3. Mettez en place des processus de traitement licites

Ne collectez que les données réellement nécessaires à vos activités et assurez-vous que le consentement des personnes concernées est toujours recueilli. Il est également crucial de fournir aux utilisateurs un contrôle sur leurs données, notamment en permettant une simple consultation sans collecte automatique.

L’affaire CEGEDIM SANTÉ est un rappel fort de l’importance du respect des obligations RGPD pour toute entreprise, y compris les TPE et PME. La collecte et le traitement des données, particulièrement sensibles comme celles liées à la santé, doivent être encadrés par des mesures strictes et des autorisations légales. Ne laissez pas la non-conformité mettre en danger votre activité : prenez dès maintenant les mesures nécessaires pour protéger les données que vous traitez et éviter des sanctions potentiellement désastreuses.