Article IT et données personnelles | 18/09/24 | 5 min. | Florence Chafiol Roxane Blanc-Dubois Marie-Charlotte Schremser
Les faits de l’espèce
Le 5 septembre 2024, la CNIL a infligé une amende de 800 000 euros à la société CEGEDIM SANTE, éditrice de logiciels de gestion pour les professionnels de santé[1].
Cette société offrait la possibilité à ses clients d’accéder à une base rassemblant des données de patients en vue de leur permettre de réaliser des études et statistiques dans le domaine de la santé. Les données de cette base étaient issues de dossiers patients de médecins panélistes utilisant le logiciel de la société et ayant accepté de fournir ces données pour cet « observatoire » mis en place par la société. En contrepartie, les médecins panélistes bénéficiaient d’une remise sur la licence d’utilisation du logiciel fourni par la société et pouvaient avoir accès aux études statistiques réalisées par les clients de la société.
Que retenir de cette décision ?
La CNIL ne suit pas l’argumentaire de la société consistant à considérer les données comme des données anonymisées. La CNIL relève notamment qu’il est possible d’isoler un individu dans le jeu de données grâce à un identifiant unique permettant de suivre un patient au fil du temps. Elle conclut que le procédé utilisé par la société est une pseudonymisation. Les données des patients demeurent donc des données personnelles soumises à la réglementation sur les données personnelles.
Le flou juridique autour du concept d’anonymisation invoqué par la société n’a pas convaincu la CNIL alors que certains de ses membres ont pu, par le passé, admettre publiquement les difficultés autour de cette notion et que « des choses pouvaient encore être faites » dans ce domaine pour plus de sécurité juridique[2].
A voir si la mise à jour (très attendue) de l’avis 05/2014 sur les techniques d’anonymisation permettra de simplifier le débat (ou non) ?
La CNIL considère que la société a créé un entrepôt de données de santé en collectant massivement et au fil de l’eau des données issues de dossiers patients des médecins panélistes pour les mettre collectivement à la disposition de tiers, ces derniers pouvant chacun les réutiliser aux fins d’études dans le domaine de la santé.
Rappelons que la notion d’entrepôt de données de santé est une construction doctrinale de la CNIL. Elle s’apprécie à l’aide d’un faisceau d’indices, incluant la réutilisation des données dans des traitements ultérieurs, de l’alimentation au fil de l’eau de la base de données ainsi que des finalités du traitement.
En l'absence de consentement explicite des personnes concernées à l’intégration de leurs données dans un entrepôt de données de santé, un tel traitement de données ne pouvait être mis en œuvre qu'après autorisation de la CNIL ou déclaration de conformité à l’un des référentiels de la CNIL.
La société n'ayant respecté aucune de ces conditions, la CNIL a conclu que la société n'avait pas respecté les obligations de formalités préalables prévues à l'article 66 de la Loi Informatique et Libertés.
A noter que la CNIL a également récemment sanctionné deux autres entités pour défaut de formalité préalable en lien avec la mise en place d’un entrepôt de données de santé (sanctions pécuniaires non publiques en date du 28 août 2024[3]). Cela enjoint les acteurs à considérer plus sérieusement le mécanisme des formalités préalables dans le domaine de la santé instauré en France (il s’agit d’une spécificité française, le RGPD ayant laissé une marge de manœuvre aux Etats dans le domaine de la santé).
[3] https://www.cnil.fr/fr/les-sanctions-prononcees-par-la-cnil