RGPD : Une première condamnation en Europe

La Comissão Nacional de Proteção de Dados (CNPD : CNIL Portugaise), vient d’infliger au Centre Hospitalier Barreiro-Montijo à proximité de Lisbonne, la première sanction financière d’un montant de 400 000 euros, pour non-respect du RGPD.

Après une alerte émise par l’ordre des médecins en juin dernier, une inspection a été menée par la CNIL portugaise. L’enquête a mis en lumière plusieurs éléments :

  • 985 médecins avaient des accès aux dossiers médicaux des patients, alors que l’hôpital ne compte que 296 médecins, expliqué par le fait que les accès de médecins vacataires demeurent toujours actifs.
  • Le personnel administratif dispose d’accès réservés aux médecins
  • Après la création d’un compte test, le régulateur a réussi à accéder à des dossiers médicaux des patients, ce qui démontre une faille de sécurité

 

Pour sa défense, l’hôpital a soulevé le fait que, étant donné la non-transposition en droit national du RGPD, l’enquête n’avait pas lieu d’être et le régulateur n’avait donc aucun pouvoir. Cependant, cet argument est dénué de sens puisqu’un règlement européen n’a pas besoin de transposition en droit national pour s’appliquer, il s’applique de manière directe.

De plus l’hôpital suggère également que les habilitations d’accès aux dossiers médicaux sont gérées par des entités tierces, à savoir le ministère de la santé et donc, que l’hôpital ne dispose pas des accès nécessaires à la modifications de la confidentialité des dossiers. Excuse également peu valable car les systèmes aujourd’hui permettent un contrôle précis des habilitations.

Pour ne rien arranger, l’hôpital avait conscience de tous ces défauts, mais n’a rien fait pour y remédier.

Ces faibles arguments n’ont eu aucun poids devant la CNPD qui a condamné l’hôpital en retenant trois infractions, à savoir :

  • Violation des principes d‘intégrité et de confidentialité des données,
  • Violation du principe de limitation d’accès aux données,
  • Impossibilité pour le responsable du traitement des données à garantir l’intégrité des données.

 

Le premier et le second manquement ont fait l’objet d’une sanction pécuniaire de 150 000 euros chacun et le dernier manquement, d’une sanction s’élevant à 100 000 euros, pour arriver à une sanction totale de 400 000 euros. Sanction relativement douloureuse pour un hôpital.

A propos de Sandra RODRIGUES

Férue de nouvelles technologies, j'ai cumulé ce vif intérêt avec ma culture juridique en choisissant la voie du Droit de l'économie numérique pour mon Master 2. Dotée de connaissances en propriété intellectuelle et sensibilisée à la protection des données, j'ai pu élargir mon champs de compétences et me passionne aujourd'hui pour la cybersécurité.

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.