Par Marie SAMPAIO, étudiante en Master 2 Droit des communications électroniques

Le 5 septembre 2024, la Commission Nationale de l’Informatique et des Libertés (CNIL) a sanctionné à hauteur de 800 000€ la société CEGEDIM SANTÉ, spécialisée dans l’édition et la vente de logiciel de gestion destinée aux médecins et cabinet de santé de la ville, pour avoir traité des données sensibles non anonymes sans autorisation préalable. 

En effet, la société a développé et vendu ses logiciels à environ 25 000 cabinets médicaux et 500 centres de santé, permettant notamment aux médecins d’utiliser ces outils de façon administrative afin de gérer leurs agendas, suivre les dossiers des patients et leurs prescriptions. Cependant, l’un des logiciels a été placé sous le contrôle de la CNIL en mars 2021. Ce dernier permettait à des médecins d’adhérer à un « observatoire » afin de collecter des données de santé issues des dossiers de leurs patients, pour ensuite mener des études statistiques dans le domaine de la santé. Ce contrôle a ainsi permis à la CNIL de vérifier la conformité des traitements de données mis en œuvre par la société, au regard des dispositions applicables en matière de traitement de données à caractère personnel. Le contrôle réalisé a révélé que la société, par le biais de l’un de ses logiciels, a traité des données de santé non anonymes et sans autorisation préalable de ses patients.

À travers cette décision de la CNIL, il est intéressant de se demander : comment la CNIL différencie-t-elle les données pseudonymisées des données anonymisées ? Quelles sont leurs limites ? En quoi les différents manquements constituent-ils une violation des règles applicables du RGPD et de la LIL ? 

L’opposition de la CNIL quant à la qualification de données dites anonymes

La société CEGEDIM SANTÉ défend avec ardeur le caractère anonyme des données collectées par l’un de ses logiciels. Mais là n’est pas la position de la CNIL. En effet, la formation restreinte de la commission s’est servie de l’arrêt Breyer rendu en 2016 par la Cour de Justice de l’Union Européenne pour appuyer ses rappeler le cadre de la pseudonymisation des données. Cette jurisprudence prévoit que « pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne ». Ainsi, en l’espèce, la collecte de données effectuée par le logiciel a permis de rendre identifiables les patients, et ce, par l’usage de moyens raisonnables. En effet, la seule collecte très large de données qui comprennent l’année de naissance, le sexe, les allergies, la situation socio-professionnelle, la taille ou encore le poids au cours des 12 derniers mois de l’année civile, associées à des données tierces, suffit à rendre identifiables les personnes concernées. 

À ce titre, la société a eu recours à un procédé de pseudonymisation des données car il s’agit d’une opération où il est possible de retrouver l’identité des personnes si l’on dispose d’informations supplémentaires. De plus, les données collectées étaient également reliées à un identifiant unique pour chaque patient, renvoyant à un pseudonyme.

Au vu de ces éléments, la CNIL a considéré à juste titre que ces données sont pseudonymes et non anonymes, la société disposant de trop d’informations qui permettraient qu’un individu soit ré-identifié. De plus, le régime applicable vient également à changer car les données pseudonymisées, à contrario des données anonymes, sont des données à caractère personnel, et dont le régime applicable est l’article 4 du règlement général sur la protection des données (RGPD). Ce régime est d’autant plus applicable que ce traitement massif de données constitue « un entrepôt de données de santé » soumis aux dispositions du RGPD et la Loi Informatique et Libertés (LIL).

Enfin, outre l’utilisation d’une pseudonymisation, la CNIL reproche à la société CEDEGIM SANTÉ de ne pas avoir respecté les formalités préalables requises pour le traitement des données sensibles au sein d’un entrepôt de données de santé.

Le manquement à l’obligation d’effectuer les formalités préalables prévue par la LIL dans le traitement de données de santé

La CNIL sanctionne la société CEDEGIM SANTÉ en raison d’un manquement à l’obligation d’effectuer les formalités préalables en matière de traitement de données à caractère personnel, dans le domaine de la santé prévue par l’article 66 de la LIL.

En effet, comme vu ci-dessus, la CNIL a reconnu que ces logiciels étaient finalement des entrepôts de données de santé. Ces derniers ont un régime juridique spécifique prévu par la CNIL. À ce titre, la société aurait dû répondre à deux conditions : remplir, dans un premier temps, une déclaration de conformité du référentiel, avec notamment le consentement explicite et préalable des patients concernés par la collecte de données, et dans un second temps, remplir un engagement de conformité du responsable de traitement, aux motifs d’intérêt public dans le domaine de la santé publique ou nécessaire à des fins de recherches scientifiques. Cependant, la société n’a pas respecté ces obligations. La CNIL prévoit tout de même une exception si le responsable du traitement souhaite que son traitement de données soit licite. En effet, la société n’ayant pas rempli les conditions du référentiel doit faire l’objet d’une demande d‘autorisation de santé auprès de la CNIL pour poursuivre tout traitement de données dans le domaine de la santé.  

Par ailleurs, la société CEDEGIM SANTÉ n’a formulé aucune demande de conformité. Ainsi, la CNIL ne pouvait pas fermer les yeux sur ce manquement car il s’agit, une fois encore, de données pseudonymisées qui ont été collectées sans le consentement équivoque des patients, constituant ainsi un manquement grave dans le cadre des données sensibles.

L’illicéité du traitement des données

La société CEDEGIM SANTÉ a mis en place un téléservice « HRi » permettant aux médecins membres de « l’observatoire » d’accéder à l’historique médical, notamment aux remboursements de frais de santés effectués par les patients sur les douze derniers mois. Cet accès est remis en cause par la CNIL. En effet, elle considère que la société CEDEGIM SANTÉ a commis un manquement à l’article 5.1 du RGPD en raison de la simple consultation des données issues de ce téléservice par les médecins. En effet, cette dernière entraînait automatiquement le téléchargement de toutes les données du patient jusqu’à même lui constituer un dossier informatisé.

En fin de compte, cette simple consultation par le médecin du téléservice permettait à ladite société de collecter et d’aspirer toutes les données du patient, ce qui est contradictoire à l’article 5.1 du RGPD rappelant le principe de limitation de la finalité.

De fait, la formation restreinte de la CNIL considère « qu’en ne prévoyant pas la possibilité que les données soient simplement consultées par les médecins sans entraîner une collecte automatique, la société n’avait pas traité les données de manière licite ». En ce sens, la CNIL explique que la société aurait dû prévoir une étape intermédiaire par laquelle le médecin peut consulter les données de son patient, sans que cette consultation entraîne un téléchargement automatique de l’entièreté du dossier du patient. De cette façon, la société n’a pas appliqué l’article 5.1 du RGPD qui prévoit les principes relatifs au traitement de données à caractère personnel, tel que la minimisation de données. 

La CNIL sanctionne sévèrement mais à juste titre la société CEGEDIM SANTÉ à hauteur de 800 000€ pour avoir traité des données sensibles non anonymes sans autorisation préalable. Aujourd’hui, la société n’est plus responsable du traitement mais est seulement éditrice.

Cette sanction sert d’exemple à titre dissuasif aux autres sociétés du domaine de la santé. En effet, l’intransigeance de la CNIL permet de faire un rappel à l’ordre à ces sociétés issues d’un domaine sensible dans lequel l’encadrement national et européen regorge de règles strictes. La CNIL dispose aujourd’hui d’un pouvoir de surveillance plus élargi à prendre au sérieux. Aujourd’hui, plus encore à l’ère du numérique, la protection de la vie privée est une responsabilité dont les sociétés n’ont aucunement la possibilité de s’exonérer.

Sources :

• https://www.cnil.fr/fr/donnees-de-sante-sanction-de-800-000-euros-societe-cegedim-sante
• https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000050202759
• https://www-dalloz-fr.lama.univ-amu.fr/documentation/Document?id=DIPIT%2FCHRON%2F2024%2F0238&ed=etudiants
• https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante
• https://www.cnil.fr/fr/traitements-de-donnees-de-sante-comment-faire-la-distinction-entre-un-entrepot-et-une-recherche-et
• https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1
• https://curia.europa.eu/juris/document/document.jsf;jsessionid=FFF294D52AB1528275630DA1DD03E537?text=&docid=184668&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=7884005