Cegedim santé édite et vend des logiciels de gestion (notamment Maiia, concurrent de Doctolib) utilisés par environ 25 000 cabinets médicaux et 500 centres de santé, explique la CNIL.
Lors de contrôles en 2021, la Commission a découvert que, « dans le cadre de l’utilisation de l’un de ses logiciels, la société avait traité sans autorisation des données de santé non anonymes, transmises à ses clients en vue de produire des études et des statistiques dans le domaine de la santé ».
Via son logiciel, l’entreprise proposait à un panel de médecins d’adhérer à un observatoire : « les données alors collectées sont ensuite utilisées par des clients de la société Cegedim Santé, notamment pour mener des études ». Problème, « ces données n’étaient pas anonymes, mais uniquement pseudonymes, la réidentification des personnes concernées étant techniquement possible ». La situation a durée au moins jusqu’en 2022, date de fin des contrôles.
La CNIL en profite pour placer un rappel important :
« Si les données sont anonymes, alors elles ne sont pas des données personnelles : dans ce cas, la règlementation sur la protection des données n’est pas applicable. À l’inverse, si les données sont pseudonymes, alors la réglementation est applicable ».
La Commission relève deux manquements : la société n’a formulé aucune demande d’autorisation et elle n’a pas adressé à la CNIL une déclaration de conformité. En conséquence, la formation restreinte a prononcé une amende de 800 000 euros à l’encontre de Cegedim Santé.
Sur la publicité (communication publique), le rapporteur de la CNIL considère que c’est « nécessaire au regard de la gravité des manquements en cause et du nombre de personnes concernées. Il estime que la publicité contribuera à informer les personnes concernées de l’existence du traitement de leurs données, y compris de données de santé, dont la grande majorité n’a pas connaissance ».
De son côté Cegedim ne souhaitait pas que cela arrive et a avancé plusieurs contre-arguments, notamment : « la publicité de la délibération lui causerait un préjudice commercial et créerait un risque de divulgation d’informations sur l’hébergement et la transmission des données pouvant porter atteinte à la sécurité des données », mais aussi que « la publicité de la sanction lui ferait encourir un risque réel quant à sa survie et au regard de sa santé financière précaire ».
Arguments balayés par la CNIL : « La formation restreinte considère que la publicité de la présente décision se justifie au regard de la gravité des manquements en cause et du nombre de personnes concernées ».