Le 5 septembre 2024, la CNIL a sanctionné la société CEGEDIM SANTÉ d’une amende de 800 000 euros, pour avoir notamment traité des données de santé sans autorisation.
Le contexte
La société CEGEDIM SANTÉ édite et vend des logiciels de gestion aux médecins de ville exerçant en cabinet et en centre de santé. Environ 25 000 cabinets médicaux et 500 centres de santé utilisent ces logiciels. Ils permettent aux médecins de gérer leur agenda, les dossiers de leurs patients et leurs prescriptions.
Les contrôles réalisés par la CNIL en 2021 ont notamment permis de révéler que, dans le cadre de l'utilisation de l'un de ses logiciels, la société avait traité sans autorisation des données de santé non anonymes, transmises à ses clients en vue de produire des études et des statistiques dans le domaine de la santé.
En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a prononcé une amende de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ, au regard des capacités financières de la société, de la gravité des manquements retenus, du caractère massif du traitement et du fait que les données concernées sont des données de santé, donc des données sensibles.
Des données pseudonymes et non anonymes
Dans le cadre de son activité, la société propose à un panel de médecins utilisant l’un de ces logiciels d’adhérer à un « observatoire », les données alors collectées sont ensuite utilisées par des clients de la société CEGEDIM SANTÉ, notamment pour mener des études.
Les investigations menées par la CNIL ont permis d’établir que ces données n’étaient pas anonymes, mais uniquement pseudonymes, la réidentification des personnes concernées étant techniquement possible.
S’agissant d’un traitement de données personnelles, la société aurait dû disposer d’une autorisation de la CNIL pour les utiliser (article 66.III de la loi Informatique et Libertés).
Pour apprécier le caractère anonyme ou non des données traitées, la formation restreinte s’est attachée à déterminer si les personnes concernées pouvaient être réidentifiées par des moyens raisonnables, comme le prévoient notamment la jurisprudence de la Cour de justice de l’Union européenne et les travaux conduits par les autorités de protection des données au niveau européen (avis 05/2014 sur les techniques d’anonymisation du 10 avril 2014).
En pratique, la formation restreinte a relevé que la société CEGEDIM SANTÉ collectait de très nombreuses données sur les personnes concernées, telles que l’année de naissance, le sexe, la catégorie socio-professionnelle, les allergies, les antécédents médicaux, la taille, le poids, le diagnostic, les prescriptions médicales, les arrêts de travail et les résultats d’analyse. Ces données étaient reliées à un identifiant unique pour chaque patient d’un même médecin, permettant de relier entre elles les données transmises successivement par un même médecin concernant ce même patient et de reconstituer ainsi son parcours de soins. Au vu de ces éléments, la formation restreinte a considéré qu’il est possible d’isoler un individu au sein de la base de données de la société et que la société dispose de nombreuses informations particulièrement riches le concernant, ce qui induit un risque de réidentification.
Dans ces conditions, compte tenu de l’existence de l’identifiant unique et de la profondeur des données collectées par la société – et en tenant également compte de la possibilité de combiner les données détenues par la société CEGEDIM SANTÉ avec des données détenues par des tiers – la formation restreinte a considéré que le risque que l’identité d’une personne puisse être retrouvée était trop élevé pour que les données traitées par la société soient considérées comme anonymes.
Dès lors, la formation restreinte a considéré que les données traitées par la société CEGEDIM SANTÉ au moins jusqu’en 2022 (date de la fin des contrôles) étaient pseudonymes et non anonymes.
|
Rappel Si les données sont anonymes, alors elles ne sont pas des données personnelles : dans ce cas, la règlementation sur la protection des données n’est pas applicable. À l’inverse, si les données sont pseudonymes, alors la réglementation est applicable. |
Les manquements sanctionnés
Un manquement à l’obligation d’effectuer les formalités préalables dans le domaine de la santé (article 66 de la loi Informatique et Libertés)
La loi Informatique et Libertés (article 66.III) prévoit que les traitements de données personnelles dans le domaine de la santé ne peuvent être mis en œuvre qu’après autorisation de la CNIL ou à la condition d’être conformes à un référentiel mentionné (article 66.II).
La formation restreinte a considéré que la société ne s’est pas conformée à ces exigences alors qu’elle constituait un entrepôt de données de santé :
- elle n’a formulé aucune demande d’autorisation auprès de la CNIL permettant d’évaluer si le traitement en cause était nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique ou nécessaire à des fins de recherche scientifique ;
- elle n’a pas adressé à la CNIL une déclaration de conformité à l’un de ses référentiels.
Un manquement à l’obligation de traiter les données de manière licite (article 5.1.a du RGPD)
La formation restreinte a considéré que la société avait commis un manquement à l’article 5.1.a du RGPD concernant son utilisation du téléservice « HRi » mis en place par l’assurance maladie, qui permet d’accéder à l’historique des remboursements de santé effectués par l’assurance maladie pour un patient sur les douze derniers mois.
La formation restreinte a en effet constaté que la consultation des données issues de ce téléservice par un médecin membre de « l’observatoire » entraînait automatiquement leur téléchargement dans le dossier informatisé du patient, permettant dans le même temps leur aspiration par la société. La formation restreinte a considéré qu’en ne prévoyant pas la possibilité que les données soient simplement consultées par les médecins sans entraîner une collecte automatique, la société n’avait pas traité les données de manière licite.
Pour ces deux manquements, la formation restreinte a prononcé une amende de 800 000 euros à l’encontre de la société CEGEDIM SANTÉ.
La formation restreinte n’a pas prononcé d’injonction de mise en conformité dans la mesure où, depuis le mois de juillet 2024, la société n’est plus responsable du traitement, mais uniquement éditrice du logiciel en cause. Les données recueillies par les médecins ne transitent ainsi plus via la société CEGEDIM SANTÉ, mais alimentent désormais directement une base détenue par une autre société du groupe, qui est devenue responsable de ce traitement.
Source et document intégral : CNIL.fr
Le 22 juillet 2024, en coopération avec la CNIL, l’autorité néerlandaise de protection des données a prononcé à l’encontre des sociétés UBER B.V. et UBER TECHNOLOGIES INC. une amende de 290 millions d’euros pour avoir transféré des données personnelles hors UE sans garanties suffisantes.
UBER regroupe UBER B.V., société néerlandaise située à Amsterdam, et UBER TECHNOLOGIES INC., société étatsunienne, dont le siège social est à San Francisco. UBER édite notamment une plateforme mettant en relation des chauffeurs VTC avec des utilisateurs.
La CNIL avait reçu une plainte collective de l’association La Ligue des droits de l’Homme, représentant plus de 170 chauffeurs de la plateforme UBER. Cette plainte concernait notamment l’information des personnes et les transferts de données personnelles hors de l’Union européenne. Le 11 décembre 2023, l’autorité néerlandaise avait prononcé une première amende de dix millions d’euros pour plusieurs manquements à l’information des chauffeurs.
Une coopération avec la CNIL tout au long de la procédure
En application des procédures de coopération entre autorités instaurées par le règlement général sur la protection des données (RGPD), c’est l’autorité néerlandaise de protection des données qui était compétente pour mener les investigations sur ce dossier, UBER ayant son établissement principal aux Pays-Bas.
La CNIL a étroitement coopéré avec son homologue tout au long de la procédure, au moment des contrôles et de l’analyse des preuves obtenues, puis lors de l’examen du projet de décision dans le cadre de la procédure du guichet unique.
Le manquement retenu
À l’issue des investigations menées, l’autorité néerlandaise de protection des données a constaté que les traitements de données personnelles des chauffeurs pour lesquels UBER B.V. et UBER TECHNOLOGIES INC. sont responsables conjoints font l’objet de transferts vers les États-Unis. L’autorité néerlandaise relève qu’entre le 6 août 2021 et le 21 novembre 2023 (date d’inscription d’Uber sur la liste du Data Privacy Framework (DPF)), ces transferts entre UBER B.V. et UBER TECHNOLOGIES INC. n’ont pas été encadrés par des garanties appropriées. Elle conclut à un manquement à l’article 44 du RGPD.
La CNIL a informé les plaignants de cette décision conformément à ce que prévoit le RGPD.
Source et document intégral : CNIL.fr
Vingt-six autorités internationales de protection des données ont mené un audit qui révèle que de très nombreux sites web et applications mobiles utilisent des mécanismes trompeurs pour influencer les choix des internautes en matière de protection de la vie privée.
En mai dernier, 26 autorités de protection des données dans le monde, rassemblées au sein du Global Privacy Enforcement Network (GPEN - réseau d'organismes agissant pour la protection de la vie privée au sein de pays membres de l'OCDE) ont examiné 1 010 sites web et applications mobiles dans le cadre d’une opération conjointe : le GPEN Sweep. Cet audit, auquel la CNIL a collaboré, a révélé que ces derniers avaient largement recours à des mécanismes de conception trompeuse (dark pattern en anglais), entravant ainsi la capacité des utilisateurs à prendre des décisions éclairées en matière de protection de la vie privée.
Ces mécanismes utilisent des fonctionnalités qui incitent les utilisateurs à choisir des options qui pourraient se traduire par la collecte de données personnelles supplémentaires. Ils peuvent également les contraindre à passer par de nombreuses étapes pour trouver la politique de confidentialité, se déconnecter, supprimer leur compte ou encore faire en sorte que des messages guides s’affichent à répétition pour que, frustrés, les utilisateurs décident finalement de fournir plus de données personnelles qu’ils ne l’auraient souhaité.
Cette année, l’audit, appelé également « ratissage » du GPEN, a eu lieu du 29 janvier au 2 février 2024. Pour la première fois, il a été coordonné avec l’International Consumer Protection and Enforcement Network (ICPEN - réseau international de protection et d'application des droits des consommateurs), composé d’autorités de protection des consommateurs.
Le GPEN et l’ICPEN, qui travaillent ensemble pour améliorer la protection de la vie privée et des consommateurs à l’échelle mondiale, ont publié les rapports de conclusions de cet audit hier. Cette collaboration témoigne de l’intersection croissante entre la protection de la vie privée et les autres sphères de la réglementation.
Méthodologie
Dans le cadre du ratissage pour la protection de la vie privée, les participants ont reproduit l’expérience des utilisateurs des sites web et applications pour déterminer s’il était facile de faire des choix en matière de protection de la vie privée, d’obtenir des renseignements sur la protection de la vie privée ainsi que de se déconnecter d’un compte ou de le supprimer.
Les ratisseurs ont évalué les sites web et les applications en fonction de cinq indicateurs qui, selon l’Organisation de coopération et de développement économiques (OCDE), sont des caractéristiques des mécanismes de conception trompeuse.
Tendances observées par nos homologues
Les résultats pour chaque indicateur présenté dans le rapport du GPEN sont les suivants :
- Langage complexe et déroutant : plus de 89 % des politiques de confidentialité se sont avérées longues ou rédigées dans un langage complexe, de niveau universitaire.
- Influence de l’interface : lorsqu’il s’agissait de demander aux utilisateurs de faire des choix en matière de protection de la vie privée, 56 % mettaient en évidence l’option qui protège le moins la vie privée et qui est la plus facile à sélectionner pour l’utilisateur.
- Répétition : au total, 35 % des sites Web et des applications invitaient à répétition les utilisateurs à reconsidérer leur intention de supprimer leur compte.
- Entrave : Dans près de 40 % des cas, les ratisseurs ont fait face à des obstacles pour faire des choix en matière de protection de la vie privée ou pour accéder à des renseignements en la matière, par exemple pour trouver les paramètres de confidentialité ou pour supprimer leur compte.
- Action forcée : Parmi les sites et des applications étudiés, 9 % forçaient les utilisateurs à divulguer plus de données personnelles qu’ils n’avaient été tenus de le faire pour créer leur compte lorsqu’ils tentaient de le supprimer.
Tendances observées par la CNIL
Les « ratisseurs » de la CNIL ont analysé les pratiques de 18 sites dans leur version mobile : six sites de vente en ligne, six sites d’éditeur de presse et six sites de médias audiovisuels. Ces analyses ont permis de relever différentes tendances et spécificités :
- Les politiques de confidentialité : sur 72 % des sites étudiés, la politique de confidentialité est accessible en deux clics ou moins depuis la page d’accueil. Si, comme à l’international, 88 % des politiques de confidentialité étudiées sont longues (plus de 3 000 mots), 70 % d’entre elles disposent d’un menu ou d’une table des matières facilitant la navigation.
- Influence de l’interface : sur la moitié des sites étudiés, il est plus facile de sélectionner le paramétrage qui protège le moins la vie privée. Dans la plupart des cas c’est parce que l’option qui protège le moins la vie privée est la plus évidente (45 % des sites visités en France contre 56% au niveau international).
- Parcours de déconnexion : sur plus de 75 % des sites permettant de se créer un compte, il est possible de se déconnecter en un seul clic et, dans 95 % des cas, il est possible de se déconnecter en deux clics ou moins.
- Parcours de désinscription : il est parfois beaucoup plus complexe de supprimer son compte. Dans 29 % des cas, il faut au moins 4 clics pour supprimer son compte et dans 17 % des cas, les ratisseurs n’ont pas trouvé d’option de suppression de compte depuis le site web mobile.
Prochaines étapes
Le « ratissage » n’est pas une enquête et ne vise pas à tirer des conclusions formelles sur de mauvaises pratiques concernant la protection des données personnelles. Toutefois, comme lors des ratissages précédents, les préoccupations soulevées cette année serviront à alimenter des travaux de la sensibilisation auprès d’organismes, mais aussi à l’orientation de la politique contrôles pour les cas les moins satisfaisants. Chaque membre du GPEN déterminera de façon indépendante s’il est nécessaire de prendre des mesures d’application supplémentaires.
Le GPEN encourage les organismes à concevoir leurs sites et applications, ainsi que les options et les communications relatives à la vie privée, de manière à aider les utilisateurs à prendre des décisions éclairées qui reflètent leurs préférences en matière de protection de la vie privée.
Les sites et applications bien conçues ont des paramètres par défaut qui offrent :
- la meilleure protection en matière de vie privée ;
- mettent en évidence les options qui protègent la vie privée ;
- utilisent un langage et une conception neutres pour présenter de manière équitable et transparente les différents choix en matière de protection de la vie privée ;
- réduisent le nombre de clics requis pour trouver les renseignements sur la protection de la vie privée, se déconnecter et supprimer un compte et offrent des options de consentement pertinentes pour le contexte et en temps opportun.
En offrant aux utilisateurs une expérience en ligne exempte d’influence, de manipulation et de coercition, les organismes peuvent renforcer la confiance des utilisateurs et faire de la protection de la vie privée un avantage concurrentiel.
Le guide de la sécurité des données personnelles a pour but de rappeler les précautions de sécurité à mettre en œuvre. Cette nouvelle version restructure le guide et introduit de nouvelles fiches, notamment sur l’intelligence artificielle, les applications mobiles, l’informatique en nuage (cloud) et les interfaces de programmation applicative (API).
Quel est le contenu du guide ?
L’obligation de sécurité en matière de traitement de données personnelles, inscrite dans la loi depuis 1978, a été renforcée par le RGPD. Il peut cependant être difficile, lorsque l’on n'est pas habitué avec les méthodes de gestion des risques, de mettre en œuvre une telle démarche et de s’assurer que le nécessaire a bien été fait.
« Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. » Article 32 du RGPD
Au travers de ces fiches, le guide de la sécurité des données personnelles de la CNIL rappelle aussi bien les précautions élémentaires qui devraient être mises en œuvre que les mesures destinées à renforcer davantage encore la protection des données.
Quelles sont les nouveautés de l’édition 2024 ?
Pour cette édition :
- Le guide a été structuré en 5 parties afin de faciliter la navigation entre ses 25 fiches.
- cinq nouvelles fiches ont été créées. Elles reprennent principalement du contenu que la CNIL a déjà publié par ailleurs sur :
- l’informatique en nuage (cloud) ;
- les applications mobiles ;
- l’intelligence artificielle (IA) ;
- les interfaces de programmation applicative (API) ;
- le pilotage de la sécurité des données.
- Les pratiques actuelles, telles que l’utilisation d’équipements personnels en environnement professionnel (BYOD), sont venues enrichir les fiches existantes.
- Les fiches qui traitaient de plusieurs sujets à la fois ont été scindées et étoffées sur leurs sujets respectifs.
D’autres mises à jour et améliorations plus ponctuelles ont été apportées pour suivre l’évolution de la menace et des connaissances. Si vous êtes déjà familier du guide, un journal des modifications a été créé pour vous aider à identifier ces changements plus rapidement.
À qui s’adresse ce guide ?
Ce guide constitue une référence dont les délégués à la protection des données (DPD), responsables de la sécurité des systèmes d’information (RSSI), informaticiens et juristes pourront se saisir dans le cadre de leur activité liée à la sécurité des données. C’est également le guide de référence utilisé par la CNIL pour son appréciation de la sécurité des traitements de données personnelles.
Document de référence en téléchargement
Article à la une...
La CNIL mène des investigations sur la violation de données ayant affecté les opérateurs Viamedis et Almerys, deux opérateurs assurant la gestion du tiers payant pour des nombreuses complémentaires santé et mutuelles. Plus de 33 millions de personnes étant concernées, elle rappelle quelques conseils à appliquer.
Quelles données personnelles sont concernées ?
La CNIL a été informée par Viamedis et Almerys de l’attaque informatique dont ils ont été victimes fin janvier. Ces opérateurs, qui assurent la gestion du tiers payant des complémentaires santé, ont vu les données nécessaires à leurs missions être compromises lors de cette violation.
Au total, cette fuite de données concerne plus de 33 millions de personnes. Les données concernées sont, pour les assurés et leur famille, l’état civil, la date de naissance et le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit.
Les données telles que les informations bancaires, les données médicales, les remboursements santé, les coordonnées postales, les numéros de téléphone ou encore les courriels ne seraient pas concernés par la violation.
Comment savoir si cette violation de données vous concerne ?
Il appartient à chacune des complémentaires santé faisant appel aux prestataires Viamedis et Almerys d’informer individuellement et directement l’ensemble des personnes concernées comme le prévoit notamment le règlement général sur la protection des données (RGPD). La CNIL s’assurera que ce soit fait dans les plus brefs délais.
La CNIL n’est pas en mesure de vous indiquer si vous êtes concerné.
Que pouvez-vous faire si vous êtes concerné(e) par cette violation de données ?
Si vous êtes une personne concernée, la CNIL vous conseille :
- d’être prudent sur les sollicitations que vous pourrez recevoir, en particulier s’ils concernent des remboursements de frais de santé ;
- de vérifier périodiquement les activités et les mouvements sur vos différents comptes.
Bien que les données de contact ne soient pas concernées par la violation, il est possible que les données ayant fait l’objet de la violation soient couplées à d’autres informations provenant de fuites de données antérieures.
L’action de la CNIL
Devant l’ampleur de la violation, la présidente de la CNIL a décidé de mener très rapidement des investigations afin de déterminer particulièrement si les mesures de sécurité mises en œuvre préalablement à l’incident et en réaction à celui-ci étaient appropriées au regard des obligations du RGPD.
Source : CNIL
- Rôle et moyens du délégué à la protection des données : bilan des contrôles de la CNIL
- Guide pratique RGPD - Sécurité des données personnelles
- Message adressé aux agents publics sur la réforme des retraites : la CNIL rappelle à l’ordre deux ministères
- Sanction de 600 000 euros à l’encontre du GROUPE CANAL+