Dans certains cas, la base fait état du dossier médical du patient, de manière détaillée. On y retrouve des informations sensibles remplies par des professionnels de santé
C’est Cegedim qui s’est fait troué, leur communiqué est affligeant :
Conformément à nos obligations légales, nous avons procédé à l’ensemble des démarches réglementaires, notamment la notification auprès de la CNIL et le dépôt de plainte auprès du procureur de la République.
Sauf que non, ils doivent aussi notifier les personnes touchées par la fuite, ce qui n’a pas été fait puisque l’on découvre la fuite aujourd’hui via France Info alors qu’elle date de fin 2025 (donc il y a 2 mois).
Particulièrement attaché à la souveraineté et à la sécurité des données, Cegedim déplore cette situation et a pleinement conscience du désagrément que cet incident peut susciter
Vos données qui fuitent est un désagrément, rien de bien grave, du même niveau qu’un retard SNCF.
On attend l’amende record de la CNIL (25 millions max) /s
Sauf que non, ils doivent aussi notifier les personnes touchées par la fuite, ce qui n’a pas été fait puisque l’on découvre la fuite aujourd’hui via France Info alors qu’elle date de fin 2025 (donc il y a 2 mois).
J’imagine que leur communiqué a été validé par des juriste puisque son seul objectif semble clairement de dédouaner l’entreprise. Et donc ça m’amène à cette phrase dans laquelle ils indiquent être en conformité avec la réglementation sur ce point :
Tous les médecins concernés ont été contactés début janvier et accompagnés s’ils le souhaitaient, par des équipes dédiées, dans leurs démarches de notification à la CNIL et d’information de leurs patients conformément à leurs obligations de responsable de traitement au sens du RGPD.
Je découvre donc aujourd’hui cet détail pervers : ils ont réussi à faire de leur marché une sorte d’eldorado où ils peuvent capter de l’information et du profit tout en rejetant la responsabilité de leur inconséquence sur leurs clients. Incroyable !
- Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.
C’est le responsable du traitement qui doit notifier la fuite à la personne concernée, pas le sous-traitant.
Le sous traitant n’a pas le droit de traiter les données pour autre chose que ce que le responsable de traitement a ordonné (article 28). Il n’a notamment pas le droit de prendre tout seul la décision d’avoir lui même un sous traitant pour la tâche qu’on lui confie.
La définition de “responsable du traitement” n’est pas très claire pour moi…
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article4
«responsable du traitement», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre; «sous-traitant», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;
La “boîte d’info” qui stocke les données et code l’application web entre dans le cadre de celle “qui traite des données à caractère personnel pour le compte du responsable du traitement”.
(J’aimerais bien que ce soit l’inverse, d’autant qu’on a un déséquilibre de pouvoir assez net entre les médecins et les plateformes, comme souvent avec les plateformes)
“détermine les finalités et les moyens du traitement”
C’est le professionnel de santé qui décide :
- ce qu’il collecte
- si il y a des décisions automatisées
- qui y a accès / si elles peuvent être partagées
- qui sera le sous sous traitant qui s’occupe de la partie technique
La personne qui décide de traiter une donnée personnelle est le responsable de traitement dans tous les cas (ou co-responsable)
Le sous traitant met en place les procédés techniques pour réaliser le traitement demandé par le responsable du traitement.
En pratique le professionnel de santé n’a pas les compétences pour comprendre ce que fait le sous traitant ou les obligations du RGPD, l’aversion au changement empêche le changement de sous-traitant et il faut qu’il y ait un meilleur choix. Il n’y a presque aucun risque financier à ne pas respecter le RGPD et à ne pas faire un logiciel qui fonctionne correctement.
Le communiqué transpire le “il ne se passera rien, et on le sait”.
Une tape sur la main + quelques remontrances, ça vaut bien 25M, non ?
Ils vont prendre une amende de la CNIL. Encore. Et c’est pas grave car ils vont la répercuter sur le prix de leurs solutions, qui sera au final répercuté sur les mêmes personnes dont les données ont fuité.
Autre chose ? Prison pour les dirigeants peut-être ? Nooon je plaisante. À la prochaine fois 🤷♂️
Ils vont prendre une amende de la CNIL
J’ai à peine cet espoir…
Si, quelque chose comme 200.000€ dans 3/4 ans pour leur laisser le temps de budgéter ça sur la réduction de masse salariale et les renouvellements d’abonnement à leur offre cloud certifié données de santé.
