Bilan 2024 des mesures correctrices de la Cnil : de nombreuses sanctions et mises en demeure prises pour protéger les données de santé

Publié le lundi 10 février 2025 à 13h49

Avec 331 décisions, dont 87 sanctions et 180 mises en demeure, l'année 2024 de la Cnil bat des records en termes de décisions rendues, ainsi qu'en termes de montant des amendes. Les données de santé, leur stockage dans les entrepôts de données de santé et la façon dont elles ont été utilisées, ont été à l'origine de nombreuses sanctions cette années.

Un niveau de sanctions inédit en 2024

L’année 2024 a vu une hausse marquée des sanctions prononcées par la Commission nationale de l’informatique et des libertés (Cnil), qui sont passées de 21 en 2022 à 87 en 2024, pour un montant cumulé de 55,2 millions d’euros d’amendes. Parmi ces sanctions, 72 incluaient des amendes, dont 14 accompagnées d’injonctions sous astreinte, et 8 concernaient des liquidations d’astreinte pour non-respect d’obligations antérieures émises par la Commission.

L’augmentation significative des mises en demeure (180 en 2024, contre 168 en 2023 et 147 en 2022) traduit également la volonté de la Cnil d’agir en amont des sanctions, notamment en incitant les organismes à se conformer aux règles de protection des données avant d’engager des actions plus lourdes.

Des sanctions marquantes sur les données de santé

Le secteur de la santé a fait l’objet d’une attention particulière en 2024. La Cnil a rendu plusieurs décisions essentielles concernant l’anonymisation des données de santé et la gestion des entrepôts de données hospitaliers (EDSH). L’un des points clés soulevés concerne la qualification des données utilisées : même si elles sont collectées à grande échelle par des organismes ignorant l’identité des patients, elles restent pseudonymes et non anonymes dès lors qu’elles sont reliées entre elles par un identifiant. Par conséquent, elles restent soumises à la réglementation sur les données personnelles, nécessitant un niveau de protection élevé.

Cette distinction est particulièrement importante alors que les établissements de santé développent de plus en plus leurs propres entrepôts de données pour la recherche et le suivi des patients. La Cnil rappelle ainsi que toute tentative de ré-identification, même involontaire, constitue un manquement au RGPD et peut donner lieu à des sanctions.

Parmi les sanctions marquantes de 2024, on note l’amende de 800 000 euros infligée à la société Cegedim Santé pour avoir traité des données de santé sans autorisation appropriée. L’entreprise, éditrice de logiciels de gestion pour les médecins, a été sanctionnée pour avoir collecté et utilisé des données pseudonymisées, mais non anonymes, à des fins d’études et de statistiques, sans respecter les exigences légales en matière de protection des données de santé.

La sécurité des dossiers patients sous surveillance :

L’accès et la gestion des dossiers patients informatisés (DPI) ont également été une préoccupation majeure pour la Cnil en 2024. Plusieurs établissements de santé ont été mis en demeure pour ne pas avoir pris les mesures adéquates garantissant que seules les personnes autorisées puissent consulter les dossiers des patients.

Ces rappels à l’ordre font suite à une augmentation des incidents signalés, notamment des accès non justifiés à des données médicales sensibles. La Cnil insiste sur la nécessité de mettre en place des contrôles d’accès stricts, des journaux de connexion détaillés et une formation des professionnels de santé pour éviter les fuites d’informations.

Vers une protection renforcée des données de santé :

Au-delà des sanctions, la Cnil continue d’accompagner les acteurs de la santé pour améliorer la gestion et la sécurisation des données. Elle recommande notamment :

• une meilleure anonymisation des données utilisées dans les entrepôts hospitaliers ;
• un contrôle renforcé des accès aux dossiers patients ;
• une sensibilisation accrue des professionnels de santé aux enjeux du RGPD.

Avec une multiplication des cyberattaques et une croissance exponentielle des volumes de données de santé collectées, la CNIL entend poursuivre son action en 2025 pour garantir un cadre sécurisé et conforme aux exigences légales.