Cegedim Santé condamné à 800 000 euros d’amende par la CNIL
Par Bertrand Lemaire | Le | Logiciel
La CNIL a lourdement sanctionné l’éditeur Cegedim Santé pour un service utilisant des données de santé sans consentement des personnes concernées.
Le groupe Cegedim fait partie des principaux éditeurs de logiciels métiers en France avec, notamment, une filiale Cegedim Santé qui conçoit et diffuse des logiciels pour le secteur de la santé. « Environ 25 000 cabinets médicaux et 500 centres de santé utilisent ces logiciels » note la CNIL. Parmi les outils de cette filiale, l’un collectait les données médicales des patients de ses clients médecins pour les traiter statistiquement et fournir des études dans le domaine de la santé. Plusieurs manquements à la réglementation ont été relevés par l’autorité administrative indépendante qui a infligé à l’éditeur une amende administrative de 800 000 euros.
Les données de santé sont en effet particulièrement sensibles et soumises à une réglementation encore plus contraignantes que d’autres types de données personnelles. La première faute de l’éditeur a été de traiter des données pseudonymisées et non pas anonymisées, permettant de ce fait une réidentification triviale des individus. De plus, tout traitement de données de santé implique une autorisation préalable de la CNIL, autorisation qui n’avait pas été demandée (et donc pas accordée). Bien évidemment, les patients concernés n’avaient pas eu le loisir d’autoriser ou non cet usage de leurs données. La collecte s’effectuait en effet en détournant une information issue de l’assurance maladie et destinée aux seuls médecins. L’affaire n’est pas nécessairement terminée puisque Cegedim Santé a récemment filialisé le service en cause.