RGPD – Sanction d’un Centre Hospitalier

3 mai 2019

L’autorité de contrôle portugaise (la Comissão Nacional de Proteção de Dados), homologue de la CNIL, a infligé une sanction financière de 400 000 euros à un centre hospitalier pour manquement au règlement européen.

L’examinateur chargé de contrôler l’outil informatique dudit centre hospitalier a constaté que :
– plusieurs personnels administratifs avaient des accès réservés normalement aux médecins;
– 985 médecins avaient des habilitations pour accéder au dossier médical des patients, alors que l’établissement ne comprend que 296 médecins.

L’établissement contrôlé a expliqué cet écart par la présence de vacataires.
Toutefois l’examinateur a constaté que les comptes de ces vacataires demeuraient actifs après leur départ.

Enfin, la création d’un compte test a permis à l’examinateur de constater qu’il pouvait accéder aux données des patients, montrant une faiblesse dans la gestion des comptes (habilitation, gestion des profils, …).

La CNDP a ainsi condamné l’hôpital au paiement d’une amende de 150.000 euros pour violation des principes d’intégrité et de confidentialité des données, 150.000 euros pour violation du principe de limitation d’accès aux données et 100.000 euros en raison de l’incapacité du responsable du traitement des données à garantir l’intégrité de celles-ci. Cette amende correspond donc à un montant total de 400.000 euros.