Juridique

Première amende RGPD pour un hôpital portugais

Première amende RGPD pour un hôpital portugais
Le CNPD portugais a condamné le centre hospitalier Barreiro-Montijo à 400 000 euros d'amende. (Crédit Photo : Free-Photos/Pixabay)

Le Portugal inaugure les sanctions financières au titre du RGPD. L'hôpital de Barreiro a écopé d'une amende de 400 000 euros en raison de sa politique d'accès aux bases de données des patients.

PublicitéLa première amende au titre du RGPD concerne donc un établissement de santé au Portugal. Un article du site Exam Informatica informe que le CNPD (Comissão Nacional de Proteção de Dados), l'équivalent de la Cnil, a infligé une sanction financière de 400 000 euros au Centre Hospitalier Barreiro-Montijo, proche de Lisbonne, pour manquement au règlement européen. Les faits remontent à juin dernier après une inspection diligentée suite à une alerte émise par l'ordre des médecins.

Le régulateur a constaté que plusieurs personnels administratifs avaient des accès réservés aux médecins. En parallèle, il a observé que 985 médecins avaient des habilitations pour accéder au dossier médical des patients, alors que l'établissement ne comprend que 296 médecins. Cet écart s'expliquerait par la présence de vacataires, mais le hic est que les comptes de ces médecins temporaires demeurent tout le temps actifs. Enfin, la délégation du régulateur a créé un compte test et a pu avoir accès à des données patients, montrant une faiblesse dans la gestion des comptes (habilitation, gestion des profils, ...)

Des arguments faibles et une sanction forte

L'établissement de santé s'est défendu dans un premier temps en soulignant l'incompétence du régulateur au motif que le RGPD n'a pas été adapté en droit national. Un argument qui ne tient pas, car le règlement produit ses effets directement dans le corpus juridique des Etats membres sans transposition. Autre argument, la politique d'habilitation à certaines données est définie par des entités tierces, notamment les services IT du ministère de la santé. Enfin, le centre hospitalier considère ne pas avoir les outils informatiques adéquats pour gérer les différents scénarios d'accès aux données patients. Une excuse peu valable, car les solutions actuelles comprennent une gestion fine des habilitations.

Des raisonnements qui n'ont manifestement pas convaincu le CNPD. Ce dernier a reconnu trois infractions au RGPD : violation des principes d'intégrité et de confidentialité des données, violation du principe de limitation d'accès aux données et incapacité pour le responsable du traitement des données à garantir l'intégrité des données. Pour les deux premiers manquements, le régulateur inflige 150 000 euros d'amende et 100 000 euros pour la troisième infraction. Le centre hospitalier peut faire appel de cette décision.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    La disponibilité et la performance des services IT font-ils l’objet de mesures techniques objectives communiquées aux directions métiers ?