CEGEDIM SANTÉ, qui édite des logiciels utilisés par environ 25 000 cabinets médicaux et 500 centres de santé, permettant de gérer les dossiers patients, les prescriptions et les agendas, s’est vue infliger une amende de 800 000 euros par la CNIL pour avoir traité illégalement des données de santé.
En 2021, la CNIL a révélé que la société avait transmis des données de santé non anonymes à ses clients pour réaliser des études et des statistiques. Ces données, bien qu’étant pseudonymes (non directement identifiables), pouvaient être réidentifiées. Ce manquement aux règles de protection des données a été jugé grave en raison de la nature sensible des informations et du volume des données concernées. En conséquence, la CNIL a sanctionné la société, considérant qu’elle aurait dû demander une autorisation préalable (selon l’article 66 de la loi Informatique et Libertés) ou se conformer à un référentiel pour le traitement de telles données.
La société proposait à des médecins de participer à un « observatoire », où les données collectées étaient transmises à des clients pour des études. Cependant, la CNIL a déterminé que ces données n’étaient pas anonymisées, mais pseudonymisées, ce qui signifie que des moyens techniques permettaient d’identifier les individus concernés, exposant ainsi un risque de réidentification.
La CNIL a également relevé un autre manquement : l’utilisation du téléservice « HRi » de l’assurance maladie. Ce service permettait aux médecins d’accéder aux historiques de remboursement des patients. Les données étaient automatiquement téléchargées dans les dossiers des patients, puis aspirées par CEGEDIM SANTÉ, sans que les médecins puissent simplement les consulter.
Pour ces manquements, une amende de 800 000 euros a été prononcée. Cependant, depuis juillet 2024, CEGEDIM SANTÉ n’est plus responsable du traitement des données, qui est désormais géré par une autre société du groupe.
Source : CNIL
