Données de santé : Cegedim écope de 800 000 € d’amende pour non-respect de la réglementation

La société Cegedim Santé, qui propose des solutions organisationnelles (prise de rendez-vous et messagerie sécurisée via Maiia) et de tiers payant aux professionnels de santé (dont les opticiens) et aux Ocam, vient d’être épinglée par la Cnil pour avoir traité sans autorisation des données de santé non anonymes. 

L’amende concerne les données collectées par Cegedim auprès d’un panel de médecins adhérents à son « observatoire », qui sont ensuite utilisées par des clients de l’entreprise, par exemple pour mener des études. « Les investigations ont permis d’établir que ces données n’étaient pas anonymes, mais uniquement pseudonymes, la réidentification des personnes concernées étant techniquement possible », explique la Cnil. La réglementation relative aux données personnelles de santé devait donc s’appliquer, ce que n’a pas fait Cegedim. La société « n’a formulé aucune demande d’autorisation auprès de la Cnil permettant d’évaluer si le traitement en cause était nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique ou nécessaire à des fins de recherche scientifique ; elle n’a pas adressé à la Cnil une déclaration de conformité à l’un de ses référentiels ».

Par ailleurs, l’opérateur n’a pas respecté le RGPD concernant son utilisation du téléservice « HRi » mis en place par l’Assurance maladie, qui permet d’accéder à l’historique des remboursements de santé pour un patient sur les 12 derniers mois. La Cnil a constaté que la consultation des données issues de ce téléservice par un médecin membre de « l’observatoire » entraînait automatiquement leur téléchargement dans le dossier informatisé du patient, permettant dans le même temps leur aspiration par la société. « En ne prévoyant pas la possibilité que les données soient simplement consultées par les médecins sans entraîner une collecte automatique, la société n’a pas traité les données de manière licite », estime la Cnil. En revanche, celle-ci n’a pas prononcé d’injonction de mise en conformité car, depuis le mois de juillet 2024, Cegedim Santé n’est plus responsable du traitement, mais uniquement éditrice du logiciel en cause.