L’éditeur Cegedim écope d’une lourde amende pour l’utilisation des données de santé générées par 2 000 médecins

Au regard de "la gravité des manquements retenus", "du caractère massif du traitement", du fait que les données concernées sont des données "sensibles", et des "capacités financières de la société", la formation restreinte de la Cnil a sanctionné le 5 septembre l'éditeur de logiciels de gestion Cegedim Santé à une amende de 800 000 euros. "Les contrôles réalisés par la Cnil en 2021 ont notamment permis de révéler que la société avait traité sans autorisation des données de santé non anonymes, transmises à ses clients en vue de produire des études et des statistiques dans le domaine de la santé", expose un communiqué de l'autorité indépendante, daté du jeudi 12 septembre.

Les données concernées étaient collectées via le logiciel Crossway par 2 000 médecins volontaires pour participer au programme de recherche de l'Observatoire épidémiologique de Cegedim. La formation restreinte a relevé que de 2018 (année de mise en œuvre du RGPD) à 2021, la société "collectait de très nombreuses données sur les personnes concernées, telles que l’année de naissance, le sexe, la catégorie socio-professionnelle, les allergies, les antécédents médicaux, la taille, le poids, le diagnostic, les prescriptions médicales, les arrêts de travail et les résultats d’analyse", détaille le communiqué. 

Les données n'étant pas anonymes et considérées, par conséquent, comme personnelles, la réglementation (RGPD) s'applique ; Cegedim aurait notamment dû formuler une demande d'autorisation auprès de la Cnil "permettant d’évaluer si le traitement en cause était nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique ou nécessaire à des fins de recherche scientifique".

Dans un communiqué, Cegedim Santé reproche à la Cnil de "jeter l'opprobre" "sur l’ensemble de ses logiciels alors que seul un usage particulier par 2 000 utilisateurs panélistes du logiciel Crossway et, de surcroit, sur une période limitée est concerné". La société précise que la Cnil "avait connaissance du traitement depuis de très nombreuses années" et "ne remet pas en cause la robustesse des process, la sécurité des données, ou l’utilisation qui en est faite, ni la poursuite des activités de ce programme de recherche". Cegedim souligne que c'est "le non accomplissement de cette formalité administrative, lié à un désaccord d’experts sur le caractère anonyme des données sur cette version ancienne du logiciel, qui justifie pour la Cnil le prononcé de la sanction plus de trois ans après le contrôle réalisé". 

Désormais "en conformité", la société regrette que la Cnil ait choisi la "voie répressive malgré la transparence et la collaboration dont Cegedim Santé a toujours fait preuve depuis plus de 20 ans concernant les modalités de mise en œuvre de ses activités" et "examine la possibilité" de contester la décision devant le Conseil d'Etat.