Actualité RGPD : 1ère amende à un hôpital portugais de 400 000 €

Actualité RGPD : 1ère amende à un hôpital portugais de 400 000 €

Voici la 1ère amende RGPD qui a été à un hôpital portugais.

La première sanction RGPD est portugaise pour une sanction d'un montant de 400 000 € !

La première amence européenne au titre du Règlement Général sur la Protection des Données personnelles (RGPD) est pour le Centre Hospitalier Barreiro au Portugal. La CNIL portugaise "la Comissão Nacional de Proteção de Dados" a infligé une amende de 400 000 € à un centre hospitalier.

L'ordre des médecins a émis une alerte à la CNIL portugaise.

Les faits date du mois de juin 2018 après une inspection diligentée par la CNIL portaugaise. Qui a constaté que plusieurs membres du personnel administratif avaient accès à des données sensibles réservées normalement aux médecins. Lors de son enquête, elle a observé que 985 médecins pouvaient accéder aux dossiers médicaux des patients, alors que l’établissement ne comprend que 296 médecins titulaires.

L'hôpital s’explique car des médecins vacataires travaillent dans le centre hospitalier. Toutefois, les comptes habilités restaient actifs en permanence malgré l’absence desdits vacataire.

Lors de l'inspection, les enquêteurs ont créé un compte test qui a révélé l’accès à de nombreuses données personnelles de patients. Cela a mis en exergue une faiblesse dans la gestion des comptes (habilitation, gestion des profils, …) par l'hôpital portugais.

La CNIL portugaise a retenu et sanctionné le centre hospitalier pour 3 infractions au réglément européen du RGPD

  • la violation du principe de minimisation des données ;
  • la violation des principes d’intégrité et de confidentialité des données ;
  • et l’incapacité pour le responsable du traitement des données à garantir l’intégrité et la confidentialité des données.

Comme j'ai déjà pu vous en parler dans un précédent article de notre site internet, la politique de sécurité des données est l'un des aspect importants de la conformité au RGPD.


Cette sécurité recouvre la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle et ce, à l’aide de mesures techniques ou organisationnelles.

Le G29 qui regroupe l'ensemble des CNIL européennes dégage dans ses lignes directrices sur la notification des violations, 3 types de violation de données :

  • La « violation de la confidentialité » : en cas de divulgation ou d’accès non autorisé ou accidentel à des données personnelles ;
  • La « violation de l’intégrité » : en cas de modification non autorisée ou accidentelle de données à caractère personnel ;
  • La « violation de la disponibilité » : en cas de perte d’accès ou de destruction non autorisée de données à caractère personnel.

Il convient également de noter qu’une violation peut concerner alternativement ou cumulativement l’intégrité, la confidentialité et la disponibilité des données à caractère personnel.


En conclusion, la CNIL portugaise a relevé une violation de la confidentialité et de l’intégrité de données personnelles. Le personnel administratif du centre hospitalier pouvait bénéficier d’accès réservés aux médecins. Ce qui pouvait leur permettre de consulter ou de modifier l'ensemble des dossiers médicaux de chacun des patients.

 

Les arguments développés par le centre hospitalier

Le centre hospitalier a essayé de se défendre en soulevant que la proposition de loi qui adapte le règlement européen au droit national portugais est en cours de rédaction. Il leur a été répondu que le RGPD étant d’application directe, cet argument ne pouvait pas être recevable.

Deuxièment, l'hôpital souligne que c'est le ministère de la santé au Portugal qui est responsable du volet technologique du système des hôpitaux public, ce qui l'exonére de toute responsabilité. Cet argument a aussi été rejeté car le RGPD impose la mise en place de mesures techniques et organisationnelles afin de garantir un niveau de sécurité adaptée au risque encouru.

Ces arguments n'ont fait d'une certaine façon que soulignait le manque de mesure mise en place pour se mettre en conformité au RGPD.


La CNIL portugaise émet une amende 400 000 €

L'amende se décompose de la manière suivante

  • 150 000 € pour le manque de minimisation des données ;
  • 150 000 € au titre de la violation des principes d’intégrité et de confidentialité des données ;
  • 100 000 € incapacité à garantir la confidentialité et l’intégrité des données.


L’ensemble des pays européens attendait avec impatience la première sanction qui tomberait au nom du RGPD.

 

Divers articles sur la RGPD qui pourrait vous intéresser...


La protection des données : son réglement en Europe (RGPD) et son délégué (DPO)


Divers articles sur la RGPD qui pourrait vous intéresser...

  • RGPD : définition

    Le RGPD est le Réglement Général pour la Protection des Données. C'est la dernière directive européenne portant sur les données...

  • Quand nommer un DPO

      On nomme un DPO dans 3 cas possible On trouve cette information dans l’article 37 du règlement portant sur le RGPD.   Il faudra donc nommer un responsable...

  • Minimisation des données à caractère personnel

    Cette article que j'ai pu tirer du site internet de la commission européenne (europa.eu - le lien), porte sur la minimisation des données collectées.   Les...

  • Actualité RGPD : des entreprises témoignent !

    RGPD : le bilan au sein des sociétés Française. Je suis tombé sur un article portant sur le RGPD en France qu'à écrit un confrère...