RGPD : la 1ère amende nous vient du Portugal

Le Règlement général relatif à la protection des données, RGPD, est en vigueur depuis le 25 mai 2018 : la 1ère amende liée à son application a récemment été prononcée au Portugal. Cette décision, relayée par la presse spécialisée, vient sanctionner les manquements d’un hôpital, le centre hospitalier de Barreiro-Montijo.

 

Il s’agit de la 1ère amende infligée par une autorité nationale en utilisant les nouvelles dispositions prévues par le RGPD. L’équivalent de la CNIL au Portugal (le CNPD) a été rendue après un contrôle sur place qui a eu lieu après une alerte envoyée par l’ordre des médecins. 

 

400 000€ d’amende pour 3 violations du RGPD

L’autorité nationale qui a contrôlé l’hôpital a soulevé 3 infractions au Règlement général. 

En effet, plusieurs personnels administratifs de l’hôpital disposaient d’accès à des données qui auraient dû être strictement réservés aux médecins. Or, les accès aux données doivent être cloisonnés et seules les personnes dûment habilitées devraient disposer d’un accès, notamment aux données sensibles. 

Dans un deuxième temps, l’autorité portugaise a remarqué que seulement 296 médecins travaillent à l’hôpital, pourtant elle a souligné que 985 médecins pouvaient accéder aux dossiers médicaux des patients : les médecins vacataires, même ceux qui n’exercent plus, avaient donc toujours accès aux données sensibles malgré la rupture des liens avec l’hôpital. 

Enfin, le contrôle sur place a donné lieu à la création d’un compte d’utilisateur de test sur le système informatique de l’hôpital. Or, avec ce simple compte, le personnel du régulateur portugais a pu accéder à des données sensibles tels que les dossiers médicaux des patients. Cela démontre l’absence totale de maîtrise des habilitations en fonction des profils créés. 

La direction de l’hôpital aurait mis en avant plusieurs arguments pour justifier de ces différentes anomalies dans sa politique de protection des données personnelles. Ainsi, elle aurait indiqué que c’est le ministère de la santé qui gère les habilitations pour accéder aux données. Elle aurait également précisé que l’hôpital ne dispose pas d’outils informatiques suffisamment développés pour assurer la bonne gestion des données personnelles. 

Mais l’autorité nationale de régulation ne s’est pas laissé convaincre. 3 violations du RGPD ont donc été retenues à l’encontre du centre hospitalier : la violation des principes d’intégrité et de confidentialité des données, la violation du principe de limitation d’accès aux données, puis l’incapacité pour le responsable du traitement des données à garantir l’intégrité des données. Pour l’ensemble de ces violations, l’hôpital devra payer une amende de 400 000€. 

Ce montant peut sembler clément en comparaison avec les plafonds de 10 millions d’euros et 20 millions d’euros prévus par le RGPD. Rappelons toutefois que le centre hospitalier a la faculté de faire appel de cette décision. 

Ajouter aux articles favoris
Please login to bookmarkClose
0 Shares:
Vous pourriez aussi aimer
Lire plus

Catégories objectives : les 9 derniers agréments délivrés par l’Apec

Article mis à jour le 20/12/2024 à 15h30 Début décembre, la Commission paritaire de l’Association pour l’emploi des cadres (Apec) a validé 9 accords portant sur les catégories objectives de salariés. Ces accords définissent les salariés cadres et non-cadres éligibles au régime de protection sociale complémentaire collective. Nous vous invitons à découvrir ces 9 accords agréés. ...

François Bayrou agrée la convention sur l’assurance chômage

C'est le 15 novembre 2024 que les partenaires sociaux signaient leur nouvelle convention sur l'assurance chômage. Le texte vient d'être agréé par le Premier ministre François Bayrou avec quelques exclusions. Toutes les dispositions agréées s'appliqueront ainsi à compter du 1er janvier 2025. Retrouvez-en la teneur ci-dessous : ...