linkedin x youtube
Nos offres
profile-avatar

Bilan 2024 des mesures correctrices de la Cnil : de nombreuses sanctions et mises en demeure prises pour protéger les données de santé

Publié le jeudi 13 février 2025 à 11h25

Cyber Data Acteur public

Avec 331 décisions, dont 87 sanctions et 180 mises en demeure, l'année 2024 de la Cnil bat des records en termes de décisions rendues, ainsi qu'en termes de montant des amendes. Les données de santé, leur stockage dans les entrepôts de données de santé et la façon dont elles ont été utilisées, ont été à l'origine de nombreuses sanctions cette années.

Un niveau de sanctions inédit en 2024

L’année 2024 a vu une hausse marquée des sanctions prononcées par la Commission nationale de l’informatique et des libertés (Cnil), qui sont passées de 21 en 2022 à 87 en 2024, pour un montant cumulé de 55,2 millions d’euros d’amendes. Parmi ces sanctions, 72 incluaient des amendes, dont 14 accompagnées d’injonctions sous astreinte, et 8 concernaient des liquidations d’astreinte pour non-respect d’obligations antérieures émises par la Commission.

Les sanctions de la Cnil en 2024 - @Cnil
Les sanctions de la Cnil en 2024 – @Cnil

 

L’augmentation significative des mises en demeure (180 en 2024, contre 168 en 2023 et 147 en 2022) traduit également la volonté de la Cnil d’agir en amont des sanctions, notamment en incitant les organismes à se conformer aux règles de protection des données avant d’engager des actions plus lourdes.

Des sanctions marquantes sur les données de santé

Le secteur de la santé a fait l’objet d’une attention particulière en 2024. La Cnil a rendu plusieurs décisions essentielles concernant l’anonymisation des données de santé et la gestion des entrepôts de données hospitaliers (EDSH). L’un des points clés soulevés concerne la qualification des données utilisées : même si elles sont collectées à grande échelle par des organismes ignorant l’identité des patients, elles restent pseudonymes et non anonymes dès lors qu’elles sont reliées entre elles par un identifiant. Par conséquent, elles restent soumises à la réglementation sur les données personnelles, nécessitant un niveau de protection élevé.

Cette distinction est particulièrement importante alors que les établissements de santé développent de plus en plus leurs propres entrepôts de données pour la recherche et le suivi des patients. La Cnil rappelle ainsi que toute tentative de ré-identification, même involontaire, constitue un manquement au RGPD et peut donner lieu à des sanctions.

Parmi les sanctions marquantes de 2024, on note l’amende de 800 000 euros infligée à la société Cegedim Santé pour avoir traité des données de santé sans autorisation appropriée. L’entreprise, éditrice de logiciels de gestion pour les médecins, a été sanctionnée pour avoir collecté et utilisé des données pseudonymisées, mais non anonymes, à des fins d’études et de statistiques, sans respecter les exigences légales en matière de protection des données de santé.

La sécurité des dossiers patients sous surveillance :

L’accès et la gestion des dossiers patients informatisés (DPI) ont également été une préoccupation majeure pour la Cnil en 2024. Plusieurs établissements de santé ont été mis en demeure pour ne pas avoir pris les mesures adéquates garantissant que seules les personnes autorisées puissent consulter les dossiers des patients.

Ces rappels à l’ordre font suite à une augmentation des incidents signalés, notamment des accès non justifiés à des données médicales sensibles. La Cnil insiste sur la nécessité de mettre en place des contrôles d’accès stricts, des journaux de connexion détaillés et une formation des professionnels de santé pour éviter les fuites d’informations.

Vers une protection renforcée des données de santé :

Au-delà des sanctions, la Cnil continue d’accompagner les acteurs de la santé pour améliorer la gestion et la sécurisation des données. Elle recommande notamment :

  • une meilleure anonymisation des données utilisées dans les entrepôts hospitaliers ;
  • un contrôle renforcé des accès aux dossiers patients ;
  • une sensibilisation accrue des professionnels de santé aux enjeux du RGPD.

Avec une multiplication des cyberattaques et une croissance exponentielle des volumes de données de santé collectées, la CNIL entend poursuivre son action en 2025 pour garantir un cadre sécurisé et conforme aux exigences légales.

 

FermerPlease login

No account yet? Register

A lire également
Bilan 2024 des mesures correctrices de la Cnil : de nombreuses sanctions et mises en demeure prises pour protéger les données de santé

Publié le 13/02/2025

membres-icon

Derniers membres

Illustration du profil de Jennifer
Jennifer inscrit il y a 1 semaine et 2 jours
Illustration du profil de morgane
morgane inscrit il y a 3 semaines et 3 jours
Illustration du profil de Benjamin
Benjamin inscrit il y a 1 mois et 1 semaine
Illustration du profil de François
François inscrit il y a 1 mois et 2 semaines
Illustration du profil de Charles
Charles inscrit il y a 1 mois et 2 semaines
Illustration du profil de Aicha
Aicha inscrit il y a 2 mois et 3 semaines
Illustration du profil de Nozha
Nozha inscrit il y a 4 mois
Illustration du profil de Fiona
Fiona inscrit il y a 4 mois
Tous les membres
confiance-icon

Ils nous font confiance

Jean François Pomerol
CEO

« Tribun Health est l’un des leaders en matière de solutions de pathologie numérique pour les établissements de santé publics et privés et l’environnement / organisations pharmaceutiques. Le décryptage de l’actualité numérique santé au sein de l’écosystème est un relais majeur pour comprendre, accompagner et développer nos activités tant au niveau institutionnel qu’au niveau des établissements (réseau des DG / DSI / CME

Dr Charlotte Garret
Directrice Médicale

« L'hebdo Health&Tech est un excellent support d'informations en termes d'actualités dans le domaine de la santé numérique, de l'IA, de la veille réglementaire... L'hebdo s'intéresse aux actualités françaises mais aussi internationales, ce qui permet d'avoir une vision globale des innovations en santé dans les domaines du digital et du numérique. Cela nous permet, au sein du LAB innovation chez Santéclair, d'être toujours informés des nouveaux acteurs du marché et des actualités dans ce domaine en perpétuel évolution ».

Aurélien Pécoul
Acting Director & open innovation manager

« En tant qu'acteur clé de l'industrie pharmaceutique, nous avons eu le privilège de collaborer avec Care Insight pour nos besoins en veille stratégique et en conseil dans le domaine de la santé numérique. Leur expertise, leur engagement et leur intégration au sein de l'écosystème de la santé numérique sont des atouts essentiels pour nous permettre d'accéder à une information de qualité. Leur capacité à fournir des panoramas détaillés, des benchmarks précis des solutions numériques et à définir des axes d'opportunités nous permet de mieux comprendre le paysage numérique de la santé en constante évolution et de formuler des stratégies de développement pertinentes. »

Arnaud Houette
CEO

« Extens est en France l’un des fonds majeurs d'investissement dédié aux éditeurs de logiciels de santé. A ce titre, Care Insight nous permet, par le service de veille HealthTech Intelligence, de comprendre les segments en évolution et accompagner nos stratégies d’investissement ciblées. Une très bonne source d’information fiable et pertinente ».

Pascal Dussert
Directeur Europe sale

“Care Insight est fédérateur d’innovations permettant d’accélérer l’émergence de projets d’envergure en s’appuyant sur son vaste réseau d’experts cliniques, institutionnels et industriels »

events-icon

Événements

Revivez les meilleurs moments !

Retrouver en image le Health&Tech Summit 2023 consacré aux cas d’usages concrets de l’IA et de la Data en Santé.

next-event