Un logiciel collectait illégalement les données des patients de 2000 médecins

Des données de santé utilisées pour des études, à l’insu des patients. Ce jeudi 12 septembre, la Commission nationale de l’informatique et des libertés (Cnil) a annoncé avoir sanctionné Cegedim Santé à hauteur de 800.000 euros pour avoir traité des données de santé sans autorisation.

Cette société édite et vend des logiciels de gestion permettant aux médecins de ville de gérer leur agenda, les dossiers de leurs patients et leurs prescriptions. Environ 25.000 cabinets médicaux et 500 centres de santé les utilisent.

Traitement de données illicite

Ayant effectué des contrôles en 2021, la Cnil a constaté que Cegedim Santé, qui est aussi propriétaire de Maiia (concurrent de Doctolib), avait traité des données de santé non anonymes sans autorisation avec un de ses logiciels.

Certains des médecins utilisant l'un des logiciels de l'entreprise se voyaient en effet proposer d’adhérer à un "observatoire". En faisant cela, Cegedim Santé proposait à des clients d’utiliser les données de santé collectées à l'aide de ces médecins, pour mener des études. Auprès de Tech&Co, Cegedim Santé précise que les données collectées concernent 2000 médecins adhérant à cet observatoire.

Parmi ces informations personnelles figurent "l’année de naissance, le sexe, la catégorie socio-professionnelle, les allergies, les antécédents médicaux, la taille, le poids, le diagnostic, les prescriptions médicales, les arrêts de travail et les résultats d’analyse", a constaté la Cnil.

Les informations étant sous pseudonyme et non anonymes, elles peuvent permettre de réidentifier une personne, souligne l’autorité. Un risque qu'elle juge trop élevé vu que les données collectées par Cegedim Santé sont "particulièrement riches" et qu’il est possible d’isoler un individu au sein de la base de données de la société.

"Ces données étaient reliées à un identifiant unique pour chaque patient d’un même médecin, permettant de relier entre elles les données transmises successivement par un même médecin concernant ce même patient et de reconstituer ainsi son parcours de soins", déplore la Cnil.

Cegedim Santé aurait pourtant dû demander l’autorisation à la Cnil avant de collecter et de traiter ces informations. Concluant ainsi que l’entreprise n’a pas traité ces données de manière licite, ce qui constitue un manquement au RGPD, l’autorité l’a condamné.

La Cnil précise que cette sanction n’est pas assortie d’une injonction de mise en conformité car Cegedim Santé n’est plus responsable de ce traitement, mais uniquement éditrice du logiciel en cause.

De son côté, Cegedim Santé ajoute examiner la possibilité de contester la décision de la Cnil devant le Conseil d’État.