Cegedim, éditeur de logiciels dans le domaine de la santé, vient d'écoper d'une amende de 800 000 euros infligée par la Commission nationale de l'informatique et des libertés (CNIL). L'entreprise a collecté des données de santé de manière illicite et non anonyme, indique l'instance.
Cegedim Santé, qui détient le concurrent de DoctoLib, Maiia, développe des logiciels et des bases de données pour les professionnels de santé et l'industrie pharmaceutique. Gestion de l'agenda, des prescriptions, des dossiers médicaux… ses produits sont exploités par environ 25 000 cabinets médicaux et 500 centres de santé.
L'un de ces logiciels, le téléservice HRi, a proposé à un panel de médecins d'adhérer à un « observatoire ». La participation à ce programme de 2 000 médecins a entraîné la collecte automatique des données de leurs patients, qui pouvaient ensuite être utilisées pour mener des études.
Plusieurs manquements sur la protection des données
La CNIL, qui a prononcé son verdict suite à des observations datant de 2021, a relevé plusieurs manquements dans le processus. Cegedim n'a pas formulé de demande d'autorisation auprès de la Commission comme il est prévu par la loi dans le cadre de données de santé, et ne lui a pas adressé de déclaration de conformité.
« Les investigations menées par la CNIL ont permis d’établir que ces données n’étaient pas anonymes, mais uniquement pseudonymes, la réidentification des personnes concernées étant techniquement possible », constate l'organisme. Elles concernaient, en outre, des informations sensibles sur les patients, comme « l’année de naissance, le sexe, la catégorie socio-professionnelle, les allergies, les antécédents médicaux, la taille, le poids, le diagnostic, les prescriptions médicales, les arrêts de travail et les résultats d’analyse ».
Autre infraction, « la consultation des données issues de ce téléservice par un médecin membre de "l’observatoire" entraînait automatiquement leur téléchargement dans le dossier informatisé du patient, permettant dans le même temps leur aspiration par la société ». La CNIL considère qu'une disposition aurait dû permettre de simplement consulter les informations, sans que le téléchargement ne soit effectué.
Cegedim conteste
En conséquence, la commission a décidé de sanctionner Cegedim à hauteur de 800 000 euros. L'entreprise conteste les accusations. Elle assure que les données étaient anonymes et a entamé les démarches de mise en conformité sur la question des formalités nécessaires à la gestion de données de santé. Le groupe « se réserve le droit de contester » cette décision devant le Conseil d'État.
- Made in France
- Plateforme complète
- Prise de rendez-vous vaccination
- Plus de 100 000 praticiens disponibles.
- Téléconsultation avec ou sans rendez-vous.
- Solutions personnalisées pour les pros.
