La Cnil a adopté une mise en demeure à l'encontre d'un hôpital dont un prestataire a accédé aux dossiers médicaux et aux données sensibles de centaines de patients.
Lors de la prise en charge d'un patient par un centre hospitalier, les actes pratiqués sont "codés" selon une nomenclature particulière, c'est-à-dire qu'à chaque acte correspond un code de remboursement par l'assurance maladie. Le code de la santé publique prévoit que les établissements doivent procéder à une analyse de leur activité pour détecter d'éventuelles erreurs de codage. Pour ce faire, certains établissements ont recours à des sociétés extérieures. En vertu du chapitre 10 de la loi Informatique et Libertés, le recours à ces entreprises doit être autorisé par la Commission nationale de l'informatique et des libertés (Cnil) en cas de traitements de données à caractère personnel à des fins d'évaluation ou d'analyse des activités de soins et de prévention. La Cnil veille à ce que ces traitements ne portent pas sur les données nominatives des malades.
Le contrôle du Centre hospitalier de Saint-Malo a révélé que le prestataire mandaté par l'hôpital a pu accéder avec le concours de l'établissement aux dossiers médicaux informatisés ou en version papier de 950 patients. La Cnil estime qu'il y a eu violation du Code de la santé publique et de l'article 34 de la loi Informatique et Libertés qui oblige les responsables de traitements à préserver la sécurité des données et empêcher que des tiers non autorisés puissent y avoir accès.
Dans une décision du 25 septembre 2013, la Cnil a adopté une mise en demeure à l'encontre du centre hospitalier : l'hôpital doit veiller à ce que les dossiers des malades ne puissent pas être accessibles par des tiers. La mise en demeure de la Cnil n'est pas une sanction car aucune suite ne sera donnée à cette procédure, si le centre hospitalier se conforme à la loi dans le délai imparti.
La Cnil précise que la publicité de cette mise en demeure était nécessaire au vue de la gravité des manquements, de la sensibilité des données, du nombre de personnes concernées et de la nécessité de prévenir le renouvellement de tels manquements. En ce sens, la Cnil a attiré l'attention du ministre de la santé et des (...)
