Le Règlement général relatif à la protection des données, RGPD, est en vigueur depuis le 25 mai 2018 : la 1ère amende liée à son application a récemment été prononcée au Portugal. Cette décision, relayée par la presse spécialisée, vient sanctionner les manquements d’un hôpital, le centre hospitalier de Barreiro-Montijo.
Il s’agit de la 1ère amende infligée par une autorité nationale en utilisant les nouvelles dispositions prévues par le RGPD. L’équivalent de la CNIL au Portugal (le CNPD) a été rendue après un contrôle sur place qui a eu lieu après une alerte envoyée par l’ordre des médecins.
400 000€ d’amende pour 3 violations du RGPD
L’autorité nationale qui a contrôlé l’hôpital a soulevé 3 infractions au Règlement général.
En effet, plusieurs personnels administratifs de l’hôpital disposaient d’accès à des données qui auraient dû être strictement réservés aux médecins. Or, les accès aux données doivent être cloisonnés et seules les personnes dûment habilitées devraient disposer d’un accès, notamment aux données sensibles.
Dans un deuxième temps, l’autorité portugaise a remarqué que seulement 296 médecins travaillent à l’hôpital, pourtant elle a souligné que 985 médecins pouvaient accéder aux dossiers médicaux des patients : les médecins vacataires, même ceux qui n’exercent plus, avaient donc toujours accès aux données sensibles malgré la rupture des liens avec l’hôpital.
Enfin, le contrôle sur place a donné lieu à la création d’un compte d’utilisateur de test sur le système informatique de l’hôpital. Or, avec ce simple compte, le personnel du régulateur portugais a pu accéder à des données sensibles tels que les dossiers médicaux des patients. Cela démontre l’absence totale de maîtrise des habilitations en fonction des profils créés.
La direction de l’hôpital aurait mis en avant plusieurs arguments pour justifier de ces différentes anomalies dans sa politique de protection des données personnelles. Ainsi, elle aurait indiqué que c’est le ministère de la santé qui gère les habilitations pour accéder aux données. Elle aurait également précisé que l’hôpital ne dispose pas d’outils informatiques suffisamment développés pour assurer la bonne gestion des données personnelles.
Mais l’autorité nationale de régulation ne s’est pas laissé convaincre. 3 violations du RGPD ont donc été retenues à l’encontre du centre hospitalier : la violation des principes d’intégrité et de confidentialité des données, la violation du principe de limitation d’accès aux données, puis l’incapacité pour le responsable du traitement des données à garantir l’intégrité des données. Pour l’ensemble de ces violations, l’hôpital devra payer une amende de 400 000€.
Ce montant peut sembler clément en comparaison avec les plafonds de 10 millions d’euros et 20 millions d’euros prévus par le RGPD. Rappelons toutefois que le centre hospitalier a la faculté de faire appel de cette décision.
