La Cnil portugaise prononce la première amende en application du RGPD

Les sanctions et amendes prononcées en 2018 par les Autorités de contrôle des Etats de l’Union pour des cas de violation des données personnelles l’ont été dans des affaires antérieures à l’entrée en vigueur du RGPD (Règlement général sur la Protection des Données).
Depuis son entrée en vigueur le 25 mai 2018, de nombreuses mises en demeure ont été délivrées à des entreprises et des associations leu demandant de se mettre en conformité, sans que ces mises en demeure aient donné lieu à une amende.
Suite à un signalement de l’ordre des médecins, l’Autorité de contrôle de la protection des données personnelles du Portugal (le CNPD, équivalent portugais de la CNIL) a donc rendu la première condamnation en application des dispositions du RGPD.
Le contrôle réalisé par le CNPD au sein d’un service hospitalier a révélé trois manquements principaux.
En premier lieu, il existait un nombre anormal de comptes donnant accès aux dossiers patients informatisés, et en conséquence, aux données personnelles des patients. Avec 296 médecins travaillant en son sein, l’hôpital disposait en effet de 985 comptes de médecins. Le CNDP a constaté que les comptes inactifs ou d’anciens membres du personnel ne travaillant plus dans l’hôpital n’avaient pas été désactivés.
Le CNDP a également constaté qu’il n’existait pas de procédure indiquant les règles à suivre pour la création d’un compte. Un compte test permettait ainsi d’accéder aux données d’un patient hospitalisé dans un autre hôpital.
Enfin, aucune procédure précisant les règles à suivre pour l’attribution d’un accès aux informations des patients n’avait été mise en place. Des personnels administratifs de l’hôpital avaient accès à des informations de patients normalement réservées aux médecins.
En réponse, la direction de l’hôpital a tout d’abord soutenu l’incompétence du CNPD au motif que les dispositions du RGPD n’auraient pas été transposées en droit portugais (pour rappel, les dispositions d’un règlement sont automatiquement applicables dans le droit des Etats Membres de l’UE et ne nécessitent pas de transposition). L’hôpital a également indiqué que l’accès aux données était déterminé par des tiers (notamment le Ministère de la santé). Il a enfin indiqué ne pas avoir les outils informatiques adéquats pour gérer les différents scénarios d’accès aux données personnelles des patients.
Le CNDP a rejeté ces trois arguments et condamné l’hôpital au paiement d’une amende de 150.000 euros pour violation des principes d’intégrité et de confidentialité des données, 150.000 euros pour violation du principe de limitation d’accès aux données et 100.000 euros en raison de l’incapacité du responsable du traitement des données à garantir l’intégrité de celles-ci. Cette première amende correspond donc à un montant total de 400.000 euros.
L’hôpital conserve le droit de faire appel de cette décision.

Source : https://www.cnpd.pt/index.asp