La Cnil sanctionne la société Cegedim Santé, filiale de Cegedim, d’une amende de 800 000 €, pour avoir traité des données de santé sans autorisation. La décision a été prise le 5 septembre 2024. Cegedim Santé est sanctionné pour ne pas avoir suffisamment anonymisé les données de santé des patients et pour avoir aspiré illégalement des données de santé.
Des logiciels de gestion des dossiers des patients
Cegedim Santé édite et vend des logiciels de gestion aux médecins de ville exerçant en cabinet et en centre de santé. Environ 25 000 cabinets médicaux et 500 centres de santé utilisent ces logiciels. Ils permettent aux médecins de gérer leur agenda, les dossiers de leurs patients et leurs prescriptions.
Les contrôles réalisés par la Cnil en 2021 ont révélé que la société avait traité sans autorisation des données de santé non anonymes, transmises à ses clients en vue de produire des études et des statistiques dans le domaine de la santé.
Cegedim Santé avait pseudonymisé les données mais ne les avait pas anonymisées. Cegedim Santé propose à un panel de médecins utilisant ces logiciels d’adhérer à un observatoire. Les données alors collectées sont ensuite utilisées par des clients de la société Cegedim Santé, notamment pour mener des études.
Des données pseudonymes et non anonymes
La Cnil a établi que ces données n’étaient pas anonymes, mais uniquement pseudonymes, la ré-identification des personnes concernées étant techniquement possible. S’agissant d’un traitement de données personnelles, Cegedim Santé aurait dû disposer d’une autorisation de la Cnil pour les utiliser (article 66.III de la loi Informatique et Libertés).
La Cnil s’est attachée à déterminer si les personnes concernées pouvaient être ré-identifiées par des moyens raisonnables. La Cnil s’appuie sur la jurisprudence de la Cour de justice de l’Union européenne et les travaux conduits par les autorités de protection des données au niveau européen (avis 05/2014 sur les techniques d’anonymisation du 10 avril 2014).
La Cnil a relevé que Cegedim Santé collectait de nombreuses données sur les personnes concernées. Il s’agit de l’année de naissance, le sexe, la catégorie socio-professionnelle, les allergies, les antécédents médicaux, la taille, le poids, le diagnostic, les prescriptions médicales, les arrêts de travail et les résultats d’analyse.
Un identifiant unique permet de reconstituer le parcours de soin du patient
Ces données étaient reliées à un identifiant unique pour chaque patient d’un même médecin. Cela permet de relier entre elles les données transmises successivement par un même médecin concernant ce même patient et de reconstituer ainsi son parcours de soins.
Au vu de ces éléments, la Cnil a considéré qu’il est possible d’isoler un individu au sein de la base de données et que Cegedim Santé dispose d’informations particulièrement riches le concernant, ce qui induit un risque de ré-identification.
Dès lors, la Cnil a considéré que le risque que l’identité d’une personne puisse être retrouvée était trop élevé pour que les données traitées par Cegedim Santé soient considérées comme anonymes. Pour cela, la Cnil pointe l’existence de l’identifiant unique et la profondeur des données collectées, et tient compte également de la possibilité de combiner les données détenues par Cegedim Santé avec des données détenues par des tiers.
Des données anonymes ne sont plus des données personnelles
La Cnil considère que les données traitées par Cegedim Santé au moins jusqu’en 2022 (date de la fin des contrôles) étaient pseudonymes et non anonymes. Pour rappel, la Cnil indique que si les données sont anonymes, alors elles ne sont pas des données personnelles et dans ce cas, la règlementation sur la protection des données n’est pas applicable. À l’inverse, si les données sont pseudonymes, alors la réglementation est applicable.
Dans le détail, la Cnil sanctionne un manquement à l’obligation d’effectuer les formalités préalables dans le domaine de la santé (article 66 de la loi Informatique et Libertés). La loi Informatique et Libertés (article 66.III) prévoit que les traitements de données personnelles dans le domaine de la santé ne peuvent être mis en œuvre qu’après autorisation de la CNIL ou à la condition d’être conformes à un référentiel mentionné (article 66.II).
La Cnil a considéré que Cegedim Santé ne s’est pas conformé à ces exigences alors qu’il constituait un entrepôt de données de santé. Cette société n’a formulé aucune demande d’autorisation auprès de la Cnil permettant d’évaluer si le traitement en cause était nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique ou nécessaire à des fins de recherche scientifique. La société n’a pas adressé à la Cnil une déclaration de conformité à l’un de ses référentiels.
Aspiration illégale de données par Cegedim Santé
La Cnil pointe également un manquement à l’obligation de traiter les données de manière licite (article 5.1.a du RGPD). La Cnil considère que Cegedim Santé a commis un manquement à l’article 5.1.a du RGPD concernant son utilisation du téléservice « HRi » mis en place par l’assurance maladie, qui permet d’accéder à l’historique des remboursements de santé effectués par l’assurance maladie pour un patient sur les douze derniers mois.
La Cnil constante en effet que la consultation des données issues de ce téléservice par un médecin membre de « l’observatoire » établi par Cegedim Santé entraînait automatiquement leur téléchargement dans le dossier informatisé du patient, permettant dans le même temps leur aspiration par Cegedim Santé. La Cnil considère que Cegedim Santé n’a pas traité les données de manière licite en ne prévoyant pas la possibilité que les données soient simplement consultées par les médecins sans entraîner une collecte automatique.
La Cnil n’a pas prononcé d’injonction de mise en conformité dans la mesure où, depuis le mois de juillet 2024, Cegedim Santé n’est plus responsable du traitement, mais seulement éditeur du logiciel en cause. Les données recueillies par les médecins ne transitent plus via Cegedim Santé, mais alimentent désormais directement une base détenue par une autre société du groupe, qui est devenue responsable de ce traitement.