RGPD : Cegedim Santé condamné à 800 000 $
La Cnil reproche à l’éditeur de logiciels d’avoir transmis des données non anonymisées qui permettaient d’identifier un patient et son dossier médical.
L’éditeur de logiciels médicaux est condamné à amende de 800.000 € par la Cnil. L’autorité lui reproche de ne pas respecter la protection des données personnelles.
« Les contrôles réalisés en 2021 ont notamment permis de révéler que la société avait traité sans autorisation des données de santé non anonymes, transmises à ses clients en vue de produire des études et des statistiques dans le domaine de la santé. » indique la Cnil.
Sa décision est motivée par un double manquement : celui relatif à l’obligation d’effectuer les formalités préalables dans le domaine de la santé (article 66 de la loi Informatique et Libertés) et celui relatif à l’obligation de traiter les données de manière licite (article 5.1.a du RGPD).
La Cnil précise qu’elle n’a pas prononcé d’injonction de mise en conformité parce que « depuis le mois de juillet 2024, la société n’est plus responsable du traitement, mais uniquement éditrice du logiciel en cause. Les données recueillies par les médecins ne transitent ainsi plus via la société Cegedim Santé, mais alimentent désormais directement une base détenue par une autre société du groupe, qui est devenue responsable de ce traitement.».
Cegedim Santé revendique environ 25 000 cabinets médicaux et 500 centres de santé, clients de ses logiciels qui permettent notamment aux médecins de gérer leur agenda et les dossiers médicaux de leurs patients.
Interrogé par l’AFP, son directeur général, Benoît Garibal, affirme que les données avaient été anonymisées et dit avoir entrepris les démarches de mise en conformité sur la question des formalités nécessaires à la gestion de données de santé. Il se réserve la possibilité d’un recours devant le Conseil d’État, pour contester la décision de la Cnil.
