Résumé des faits
Après s’être aperçu que le site du Laboratoire d’analyses médicales comporte une page d’accès aux données d’analyses médicales intitulée « Cyberlab » dans un protocole http non sécurisé, le plaignant a déposé une plainte auprès de l’APD contre ledit laboratoire pour manquement à plusieurs obligations du RGPD.
Une enquête a ainsi été menée et une amende de 20 000 euros a été infligée à l’encontre du Laboratoire d’analyses médicales pour notamment sécurisation insuffisante des données de santé, non-respect des obligations relatives à l’analyse d’impact sur la protection des données et non-respect de l’obligation d’information.
Motifs de la sanction / Manquements
- Non-respect des articles 5.1.f) et 32 du RGPD
Absence de chiffrement au niveau du site internet sur lequel sont consultables les résultats d’analyses médicales, alors qu’il s’agit de données sensibles.
- Non-respect des articles 35.1 et 35.3 du RGPD
Absence d’analyse d’impact relative à la protection des données, alors qu’il s’agit de traitements de données de santé opérés à grande échelle.
- Non-respect des articles 12, 13 et 14 du RGPD
Absence d’affichage des informations sur le site internet du laboratoire d’analyses médicales.
Que retenir de la décision ?
- Il est important de mettre en place un système d’authentification forte lors du traitement des données de santé, qui pourrait être bifactorielle.
- Un traitement à grande échelle concerne le cas où des catégories particulières de données personnelles sont échangées systématiquement entre plusieurs responsables du traitement.
Le + DLD
- L’affichage des informations RGPD dans les centres de prélèvement d’un laboratoire d’analyses médicales ne suffit pas pour se conformer à l’obligation d’information. Ces informations doivent également être accessibles via le site internet du laboratoire.
- Le fait qu’il s’agisse d’une première constatation d’une violation du RGPD n’affecte pas la possibilité d’infliger une amende administrative à l’organisme concerné.
- Pour décider s’il y a lieu de prononcer une amende, l’APD tient compte notamment de la catégorie des données concernées, de l’attitude négligente ou pas au regard de la protection des données, de la réactivité dans la remédiation aux manquements constatés.
