linkedin x youtube
Nos offres
profile-avatar

Bilan 2024 des mesures correctrices de la Cnil : de nombreuses sanctions et mises en demeure prises pour protéger les données de santé

Publié le jeudi 13 février 2025 à 11h25

Cyber Data Acteur public

Avec 331 décisions, dont 87 sanctions et 180 mises en demeure, l'année 2024 de la Cnil bat des records en termes de décisions rendues, ainsi qu'en termes de montant des amendes. Les données de santé, leur stockage dans les entrepôts de données de santé et la façon dont elles ont été utilisées, ont été à l'origine de nombreuses sanctions cette années.

Un niveau de sanctions inédit en 2024

L’année 2024 a vu une hausse marquée des sanctions prononcées par la Commission nationale de l’informatique et des libertés (Cnil), qui sont passées de 21 en 2022 à 87 en 2024, pour un montant cumulé de 55,2 millions d’euros d’amendes. Parmi ces sanctions, 72 incluaient des amendes, dont 14 accompagnées d’injonctions sous astreinte, et 8 concernaient des liquidations d’astreinte pour non-respect d’obligations antérieures émises par la Commission.

Les sanctions de la Cnil en 2024 - @Cnil
Les sanctions de la Cnil en 2024 – @Cnil

 

L’augmentation significative des mises en demeure (180 en 2024, contre 168 en 2023 et 147 en 2022) traduit également la volonté de la Cnil d’agir en amont des sanctions, notamment en incitant les organismes à se conformer aux règles de protection des données avant d’engager des actions plus lourdes.

Des sanctions marquantes sur les données de santé

Le secteur de la santé a fait l’objet d’une attention particulière en 2024. La Cnil a rendu plusieurs décisions essentielles concernant l’anonymisation des données de santé et la gestion des entrepôts de données hospitaliers (EDSH). L’un des points clés soulevés concerne la qualification des données utilisées : même si elles sont collectées à grande échelle par des organismes ignorant l’identité des patients, elles restent pseudonymes et non anonymes dès lors qu’elles sont reliées entre elles par un identifiant. Par conséquent, elles restent soumises à la réglementation sur les données personnelles, nécessitant un niveau de protection élevé.

Cette distinction est particulièrement importante alors que les établissements de santé développent de plus en plus leurs propres entrepôts de données pour la recherche et le suivi des patients. La Cnil rappelle ainsi que toute tentative de ré-identification, même involontaire, constitue un manquement au RGPD et peut donner lieu à des sanctions.

Parmi les sanctions marquantes de 2024, on note l’amende de 800 000 euros infligée à la société Cegedim Santé pour avoir traité des données de santé sans autorisation appropriée. L’entreprise, éditrice de logiciels de gestion pour les médecins, a été sanctionnée pour avoir collecté et utilisé des données pseudonymisées, mais non anonymes, à des fins d’études et de statistiques, sans respecter les exigences légales en matière de protection des données de santé.

La sécurité des dossiers patients sous surveillance :

L’accès et la gestion des dossiers patients informatisés (DPI) ont également été une préoccupation majeure pour la Cnil en 2024. Plusieurs établissements de santé ont été mis en demeure pour ne pas avoir pris les mesures adéquates garantissant que seules les personnes autorisées puissent consulter les dossiers des patients.

Ces rappels à l’ordre font suite à une augmentation des incidents signalés, notamment des accès non justifiés à des données médicales sensibles. La Cnil insiste sur la nécessité de mettre en place des contrôles d’accès stricts, des journaux de connexion détaillés et une formation des professionnels de santé pour éviter les fuites d’informations.

Vers une protection renforcée des données de santé :

Au-delà des sanctions, la Cnil continue d’accompagner les acteurs de la santé pour améliorer la gestion et la sécurisation des données. Elle recommande notamment :

  • une meilleure anonymisation des données utilisées dans les entrepôts hospitaliers ;
  • un contrôle renforcé des accès aux dossiers patients ;
  • une sensibilisation accrue des professionnels de santé aux enjeux du RGPD.

Avec une multiplication des cyberattaques et une croissance exponentielle des volumes de données de santé collectées, la CNIL entend poursuivre son action en 2025 pour garantir un cadre sécurisé et conforme aux exigences légales.

 

FermerPlease login

No account yet? Register

A lire également
Bilan 2024 des mesures correctrices de la Cnil : de nombreuses sanctions et mises en demeure prises pour protéger les données de santé

Publié le 13/02/2025

membres-icon

Derniers membres

Illustration du profil de François
François inscrit il y a 3 jours et 6 heures
Illustration du profil de Charles
Charles inscrit il y a 3 jours et 6 heures
Illustration du profil de Aicha
Aicha inscrit il y a 1 mois et 1 semaine
Illustration du profil de Nozha
Nozha inscrit il y a 2 mois et 1 semaine
Illustration du profil de Fiona
Fiona inscrit il y a 2 mois et 2 semaines
Illustration du profil de Nourhene
Nourhene inscrit il y a 2 mois et 3 semaines
Illustration du profil de Ludovic
Ludovic inscrit il y a 3 mois
Illustration du profil de Deborah
Deborah inscrit il y a 3 mois et 1 semaine
Tous les membres
confiance-icon

Ils nous font confiance

Jean François Pomerol
CEO

« Tribun Health est l’un des leaders en matière de solutions de pathologie numérique pour les établissements de santé publics et privés et l’environnement / organisations pharmaceutiques. Le décryptage de l’actualité numérique santé au sein de l’écosystème est un relais majeur pour comprendre, accompagner et développer nos activités tant au niveau institutionnel qu’au niveau des établissements (réseau des DG / DSI / CME

Dr Charlotte Garret
Directrice Médicale

« L'hebdo Health&Tech est un excellent support d'informations en termes d'actualités dans le domaine de la santé numérique, de l'IA, de la veille réglementaire... L'hebdo s'intéresse aux actualités françaises mais aussi internationales, ce qui permet d'avoir une vision globale des innovations en santé dans les domaines du digital et du numérique. Cela nous permet, au sein du LAB innovation chez Santéclair, d'être toujours informés des nouveaux acteurs du marché et des actualités dans ce domaine en perpétuel évolution ».

Aurélien Pécoul
Acting Director & open innovation manager

« En tant qu'acteur clé de l'industrie pharmaceutique, nous avons eu le privilège de collaborer avec Care Insight pour nos besoins en veille stratégique et en conseil dans le domaine de la santé numérique. Leur expertise, leur engagement et leur intégration au sein de l'écosystème de la santé numérique sont des atouts essentiels pour nous permettre d'accéder à une information de qualité. Leur capacité à fournir des panoramas détaillés, des benchmarks précis des solutions numériques et à définir des axes d'opportunités nous permet de mieux comprendre le paysage numérique de la santé en constante évolution et de formuler des stratégies de développement pertinentes. »

Arnaud Houette
CEO

« Extens est en France l’un des fonds majeurs d'investissement dédié aux éditeurs de logiciels de santé. A ce titre, Care Insight nous permet, par le service de veille HealthTech Intelligence, de comprendre les segments en évolution et accompagner nos stratégies d’investissement ciblées. Une très bonne source d’information fiable et pertinente ».

Pascal Dussert
Directeur Europe sale

“Care Insight est fédérateur d’innovations permettant d’accélérer l’émergence de projets d’envergure en s’appuyant sur son vaste réseau d’experts cliniques, institutionnels et industriels »

events-icon

Événements

Revivez les meilleurs moments !

Retrouver en image le Health&Tech Summit 2023 consacré aux cas d’usages concrets de l’IA et de la Data en Santé.

next-event

“Datatransformeurs, saison 3 : de la vision aux action !” – RDV le 29 août 2025 au CHNO des 15-20

La Journée des Datatransformeurs revient pour une 3e édition ambitieuse, au cœur de l’hôpital des 15-20, un lieu emblématique de l’innovation en ophtalmologie. Cette journée réunira la communauté des acteurs engagés dans la transformation de la santé par les données : chercheurs, institutionnels, industriels, associations de patients, start-ups et professionnels de santé. Les Datatransformeurs – Qui sommes-nous ? Collectif unique réunissant professionnels de santé, institutionnels, chercheurs, industriels et citoyens pour transformer l’usage des données de santé en France. Objectif : Accélérer la production, la circulation, la confiance et la valorisation des données de santé pour une santé publique plus efficace et innovante. Particularité : Plateforme collaborative et ouverte, favorisant l’innovation, la transparence et la co-construction de solutions concrètes, avec un ancrage fort sur les enjeux de santé publique et l’expérimentation terrain. Un programme ancré dans les enjeux de terrain Pour cette édition, quatre thématiques stratégiques seront explorées à travers des ateliers collaboratifs et des formats immersifs : 🔹 Patients & Données – Comment mieux impliquer les patients dans les études et mieux communiquer sur l’usage de leurs données ? 🔹 Parcours ville-hôpital – Comment fiabiliser les données issues des dispositifs de coordination pour évaluer et transformer les soins ? 🔹 Stratégie & Zoom ophtalmologie – Comment structurer une stratégie data ambitieuse à partir d’un domaine concret, encore peu outillé : l’ophtalmo ? 🔹 Plateformes de demain – Quelles briques technologiques pour une infrastructure souveraine, interopérable et responsable ? Une journée pour construire, pas seulement débattre Chaque thématique sera portée par un binôme d’experts et nourrie par des cas concrets, des controverses, et des défis à résoudre collectivement. Objectif : produire des livrables utiles, nourrir les politiques publiques et influencer les appels à projets à venir. Pourquoi participer ? Contribuer activement à des projets d’intérêt général. Rejoindre une communauté engagée et interdisciplinaire. Anticiper les grands basculements réglementaires et technologiques à venir. Donner de la voix aux producteurs de données, aux utilisateurs, aux patients. Vous souhaitez être acteur du changement ? Inscrivez-vous dès maintenant à la Journée des Datatransformeurs du 29 août. Les places sont limitées.