Juridique

Données personnelles : attention aux interventions de prestataires

La CNIL vient de rappeler à l'ordre un hôpital. Un prestataire avait eu accès aux données des patients sans anonymisation préalable.

PublicitéLe Centre hospitalier de Saint-Malo vient de recevoir une mise en demeure de la CNIL (Commission Nationale Informatique et Libertés). En effet, des prestataires intervenant sur du contrôle de qualité des fichiers informatiques ont eu accès à des données médicales sensibles non anonymisées au préalable, ce qui est évidemment interdit. 950 patients sont concernés.

En l'occurrence, ces prestataires ont été missionné pour vérifier que les codages d'actes médicaux, à la base des versements opérés par l'Assurance Maladie pour financer l'hôpital, étaient cohérents avec l'activité réelle. La CNIL insiste sur le fait qu'une telle prestation en elle-même n'est ni illicite ni illégitime. L'autorité administrative indépendante a ainsi déjà autorisé de nombreuses fois des opérations similaires.

Mais, d'une part, de tels traitements doivent être spécifiquement autorisés par la CNIL. D'autre part, il est indispensable que les identités des patients ne soient pas accessibles par les prestataires non-habilités.

La CNIL a saisi le Ministère de la Santé du sujet. Il semblerait en effet que ce problème ne soit pas un cas isolé.