La Comissão Nacional de Proteção de Dados (CNPD : CNIL Portugaise), vient d’infliger au Centre Hospitalier Barreiro-Montijo à proximité de Lisbonne, la première sanction financière d’un montant de 400 000 euros, pour non-respect du RGPD.
Après une alerte émise par l’ordre des médecins en juin dernier, une inspection a été menée par la CNIL portugaise. L’enquête a mis en lumière plusieurs éléments :

  • 985 médecins avaient des accès aux dossiers médicaux des patients, alors que l’hôpital ne compte que 296 médecins, expliqué par le fait que les accès de médecins vacataires demeurent toujours actifs.
  • Le personnel administratif dispose d’accès réservés aux médecins
  • Après la création d’un compte test, le régulateur a réussi à accéder à des dossiers médicaux des patients, ce qui démontre une faille de sécurité

 
Pour sa défense, l’hôpital a soulevé le fait que, étant donné la non-transposition en droit national du RGPD, l’enquête n’avait pas lieu d’être et le régulateur n’avait donc aucun pouvoir. Cependant, cet argument est dénué de sens puisqu’un règlement européen n’a pas besoin de transposition en droit national pour s’appliquer, il s’applique de manière directe.
De plus l’hôpital suggère également que les habilitations d’accès aux dossiers médicaux sont gérées par des entités tierces, à savoir le ministère de la santé et donc, que l’hôpital ne dispose pas des accès nécessaires à la modifications de la confidentialité des dossiers. Excuse également peu valable car les systèmes aujourd’hui permettent un contrôle précis des habilitations.
Pour ne rien arranger, l’hôpital avait conscience de tous ces défauts, mais n’a rien fait pour y remédier.
Ces faibles arguments n’ont eu aucun poids devant la CNPD qui a condamné l’hôpital en retenant trois infractions, à savoir :

  • Violation des principes d‘intégrité et de confidentialité des données,
  • Violation du principe de limitation d’accès aux données,
  • Impossibilité pour le responsable du traitement des données à garantir l’intégrité des données.

 
Le premier et le second manquement ont fait l’objet d’une sanction pécuniaire de 150 000 euros chacun et le dernier manquement, d’une sanction s’élevant à 100 000 euros, pour arriver à une sanction totale de 400 000 euros. Sanction relativement douloureuse pour un hôpital.

A propos de Sandra RODRIGUES