[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$fuW4NdjCGxi2sL_X4m7vIIm9hMDrELfhEKIjyGhbeWQg":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":7,"wordCount":8,"readTime":9,"title":10,"nbDownloads":11,"excerpt":7,"lang":12,"url":13,"intro":14,"featured":15,"state":16,"author":17,"authorId":18,"datePublication":24,"dateCreation":25,"dateUpdate":26,"mainCategory":27,"categories":42,"metaDatas":69,"imageUrl":70,"imageThumbUrls":71,"id":79},false,"*Temps de lecture : 3 min 18 s*\r\n\r\n## 🔽 Sanction 🔽\r\n\r\nDeux **médecins libéraux** situés à Paris ont été sanctionnés en décembre par la CNIL pour violation des [**données à caractère personnel**](https://www.dastra.eu/fr/article/donnee-a-caractere-personnel/382) concernant leurs patients.\r\n\r\n### 1ere affaire :\r\n\r\nDans la première affaire, la CNIL a procédé **à un contrôle en ligne** d'adresses IP à partir desquelles des données médicales étaient accessibles librement.\r\n\r\nUn médecin avait pris soin de **configurer lui même le logiciel d'imagerie médicale** et avait **ouvert les ports réseau de sa box** pour pouvoir les partager via une fonction serveur (PACS) du logiciel. Or, cet accès n'était pas sécurisé et **l'ensemble des données hébergées sur le serveur dédié au logiciel était mis à disposition librement sur internet à partir de simples adresses IP**.\r\n\r\nLes données concernaient des images médicales (IRM, radios, scanners, etc…) suivies notamment des nom, prénoms, date de naissance et date de consultation des patients. Il s'agit de **données sensibles au sens du RGPD**.\r\n\r\nLa violation concernait plus de **1200 jeux de données** mis à diposition **librement pendant 5 ans**.\r\n\r\nUne sollicitation des FAI a permis d'identifier le responsable du traitement lié à ces adresses IP.\r\n\r\nLors d'une **audition de contrôle** dans les locaux de la CNIL, il a été demandé au médecin des **explications sur la sécurité des données** ainsi que son **registre des traitements**.\r\n\r\n> Découvrez comment faire facilement son registre des traitements avec Dastra, [**demandez nous une démo**](https://www.dastra.eu/fr/contact?type=Demo) !\r\n\r\nLe médecin a expliqué qu'il n'avait pas lui même configuré la box mais ne pouvait pas le prouver. Cela n'excluait cependant pas sa responsabilité.\r\n\r\nAinsi, il lui a été reproché de ne pas avoir sécurisé les données sur ce point.\r\n\r\nDe plus, les données stockées sur son ordinateur portable **n'étaient pas chiffrées** au motif que cela ralentissait l'ordinateur. Or, **le chiffrement de données sur des appareils nomades est une recommandation très courante**, au sein du guide de la sécurité de la CNIL mais également dans le guide de l'ordre des médecins.\r\n\r\nLes données sensibles doivent être chiffrées. Soit l'ensemble du disque dur, soit une partie du disque selon l'offre logicielle.\r\n\r\nEnfin, il a été reproché au médecin de ne pas avoir notifié la violation après en avoir pris connaissance. En effet, après l'audition, ce dernier a pris connaissance de la violation et aurait dû au titre de l'article 33 du RGPD la notifier à la CNIL.\r\n\r\nBien que le médecin ait considéré que cette obligation puisse être superfétatoire étant donné que la CNIL était au courant avant lui, il aurait dû notifier. En effet, non seulement, **il s'agit d'une obligation légale mais il aurait pu avoir connaissance d'éléments supplémentaires à notifier**.\r\n\r\nLa CNIL rappelle que **les notifications lui servent à centraliser et suivre les violations afin de prévenir la compromission de données à caractère personnel**.\r\n\r\nPrenant en compte la réactivité du médecin et la sensibilité des données, une **sanction de 6 000 euros** a été prononcée à son encontre pour **manquement aux articles 32 et 33 du RGPD**.\r\n\r\n> Pour simplifier vos démarches RGPD et s'assurer la conformité, [**demandez nous une démo**](https://www.dastra.eu/fr/contact?type=Demo) !\r\n\r\n### 2e affaire :\r\n\r\nLa seconde affaire est très similaire.\r\n\r\nIl a été reproché au médecin de **ne pas avoir sécurisé son accès internet et d'avoir laissé les images de son logiciel d'imagerie médical en libre accès sur internet**.\r\n\r\nEn effet, il avait lui même configuré son réseau et branché le logiciel professionnel sur la box internet de son domicil personnel.\r\n\r\nLes **recommandations élémentaires de sécurité imposent de séparer les outils professionnels des outils personnels** d'autant plus dans le cadre de données de santé. Outre le fait que les ports étaient ouverts à tous sur internet, les données étaient accessibles à toute personne connectée sur sa box internet.\r\n\r\nDe plus, il lui était reproché de **ne pas avoir chiffré son ordinateur portable contenant les données de santé**.\r\n\r\nEnfin, il **aurait dû après avoir été contrôlé notifié la violation à la CNIL**.\r\n\r\nIl a été **sanctionné à hauteur de 3 000 euros pour non respect des articles 32 et 33 du RGPD**.\r\n\r\n## Conclusions :\r\n\r\n▶ Le RGPD ne s'applique pas qu'aux entreprises et ces décisions illustrent bien la qualification du [**responsable de traitement**](https://www.dastra.eu/fr/article/responsable-de-traitement/392) en tant que personne physique, ici, des médecins libéraux.\r\n\r\n▶ **La notification des violations de données doit s'effectuer quelque soit la situation, quand bien même, la violation est connue du grand public, des personnes concernées ou de la CNIL.**\r\n\r\n▶ Les **recommandations de base en matière de sécurité doivent être mises en oeuvre à tous les niveaux**, que ce soit au niveau d'une grande entreprise ou d'une très petite entreprise. Pour le monde médical, un guide a été [**publié par le CNOM**](https://www.cnil.fr/sites/default/files/atoms/files/guide-cnom-cnil.pdf). Pour les avocats, le CNB a fait de même\r\n\r\n▶ Il est essentiel de s'assurer de la qualité des [**sous-traitants**](https://www.dastra.eu/fr/article/sous-traitant/388) utilisés et du paramétrage d'un outil professionnel.\r\n\r\n> Découvrez comment piloter ses sous-traitants et respecter le RGPD, [**demandez nous une démo**](https://www.dastra.eu/fr/contact?type=Demo) !\r\n\r\nLien vers les sanctions :\r\n\r\n\u003Chttps://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042676787>\r\n\r\n\u003Chttps://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042675720>","\u003Cp>\u003Cem>Temps de lecture : 3 min 18 s\u003C/em>\u003C/p>\r\n\u003Ch2 id=\"sanction\">🔽 Sanction 🔽\u003C/h2>\r\n\u003Cp>Deux \u003Cstrong>médecins libéraux\u003C/strong> situés à Paris ont été sanctionnés en décembre par la CNIL pour violation des \u003Ca href=\"https://www.dastra.eu/fr/article/donnee-a-caractere-personnel/382\">\u003Cstrong>données à caractère personnel\u003C/strong>\u003C/a> concernant leurs patients.\u003C/p>\r\n\u003Ch3 id=\"ere-affaire\">1ere affaire :\u003C/h3>\r\n\u003Cp>Dans la première affaire, la CNIL a procédé \u003Cstrong>à un contrôle en ligne\u003C/strong> d'adresses IP à partir desquelles des données médicales étaient accessibles librement.\u003C/p>\r\n\u003Cp>Un médecin avait pris soin de \u003Cstrong>configurer lui même le logiciel d'imagerie médicale\u003C/strong> et avait \u003Cstrong>ouvert les ports réseau de sa box\u003C/strong> pour pouvoir les partager via une fonction serveur (PACS) du logiciel. Or, cet accès n'était pas sécurisé et \u003Cstrong>l'ensemble des données hébergées sur le serveur dédié au logiciel était mis à disposition librement sur internet à partir de simples adresses IP\u003C/strong>.\u003C/p>\r\n\u003Cp>Les données concernaient des images médicales (IRM, radios, scanners, etc…) suivies notamment des nom, prénoms, date de naissance et date de consultation des patients. Il s'agit de \u003Cstrong>données sensibles au sens du RGPD\u003C/strong>.\u003C/p>\r\n\u003Cp>La violation concernait plus de \u003Cstrong>1200 jeux de données\u003C/strong> mis à diposition \u003Cstrong>librement pendant 5 ans\u003C/strong>.\u003C/p>\r\n\u003Cp>Une sollicitation des FAI a permis d'identifier le responsable du traitement lié à ces adresses IP.\u003C/p>\r\n\u003Cp>Lors d'une \u003Cstrong>audition de contrôle\u003C/strong> dans les locaux de la CNIL, il a été demandé au médecin des \u003Cstrong>explications sur la sécurité des données\u003C/strong> ainsi que son \u003Cstrong>registre des traitements\u003C/strong>.\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>Découvrez comment faire facilement son registre des traitements avec Dastra, \u003Ca href=\"https://www.dastra.eu/fr/contact?type=Demo\">\u003Cstrong>demandez nous une démo\u003C/strong>\u003C/a> !\u003C/p>\r\n\u003C/blockquote>\r\n\u003Cp>Le médecin a expliqué qu'il n'avait pas lui même configuré la box mais ne pouvait pas le prouver. Cela n'excluait cependant pas sa responsabilité.\u003C/p>\r\n\u003Cp>Ainsi, il lui a été reproché de ne pas avoir sécurisé les données sur ce point.\u003C/p>\r\n\u003Cp>De plus, les données stockées sur son ordinateur portable \u003Cstrong>n'étaient pas chiffrées\u003C/strong> au motif que cela ralentissait l'ordinateur. Or, \u003Cstrong>le chiffrement de données sur des appareils nomades est une recommandation très courante\u003C/strong>, au sein du guide de la sécurité de la CNIL mais également dans le guide de l'ordre des médecins.\u003C/p>\r\n\u003Cp>Les données sensibles doivent être chiffrées. Soit l'ensemble du disque dur, soit une partie du disque selon l'offre logicielle.\u003C/p>\r\n\u003Cp>Enfin, il a été reproché au médecin de ne pas avoir notifié la violation après en avoir pris connaissance. En effet, après l'audition, ce dernier a pris connaissance de la violation et aurait dû au titre de l'article 33 du RGPD la notifier à la CNIL.\u003C/p>\r\n\u003Cp>Bien que le médecin ait considéré que cette obligation puisse être superfétatoire étant donné que la CNIL était au courant avant lui, il aurait dû notifier. En effet, non seulement, \u003Cstrong>il s'agit d'une obligation légale mais il aurait pu avoir connaissance d'éléments supplémentaires à notifier\u003C/strong>.\u003C/p>\r\n\u003Cp>La CNIL rappelle que \u003Cstrong>les notifications lui servent à centraliser et suivre les violations afin de prévenir la compromission de données à caractère personnel\u003C/strong>.\u003C/p>\r\n\u003Cp>Prenant en compte la réactivité du médecin et la sensibilité des données, une \u003Cstrong>sanction de 6 000 euros\u003C/strong> a été prononcée à son encontre pour \u003Cstrong>manquement aux articles 32 et 33 du RGPD\u003C/strong>.\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>Pour simplifier vos démarches RGPD et s'assurer la conformité, \u003Ca href=\"https://www.dastra.eu/fr/contact?type=Demo\">\u003Cstrong>demandez nous une démo\u003C/strong>\u003C/a> !\u003C/p>\r\n\u003C/blockquote>\r\n\u003Ch3 id=\"e-affaire\">2e affaire :\u003C/h3>\r\n\u003Cp>La seconde affaire est très similaire.\u003C/p>\r\n\u003Cp>Il a été reproché au médecin de \u003Cstrong>ne pas avoir sécurisé son accès internet et d'avoir laissé les images de son logiciel d'imagerie médical en libre accès sur internet\u003C/strong>.\u003C/p>\r\n\u003Cp>En effet, il avait lui même configuré son réseau et branché le logiciel professionnel sur la box internet de son domicil personnel.\u003C/p>\r\n\u003Cp>Les \u003Cstrong>recommandations élémentaires de sécurité imposent de séparer les outils professionnels des outils personnels\u003C/strong> d'autant plus dans le cadre de données de santé. Outre le fait que les ports étaient ouverts à tous sur internet, les données étaient accessibles à toute personne connectée sur sa box internet.\u003C/p>\r\n\u003Cp>De plus, il lui était reproché de \u003Cstrong>ne pas avoir chiffré son ordinateur portable contenant les données de santé\u003C/strong>.\u003C/p>\r\n\u003Cp>Enfin, il \u003Cstrong>aurait dû après avoir été contrôlé notifié la violation à la CNIL\u003C/strong>.\u003C/p>\r\n\u003Cp>Il a été \u003Cstrong>sanctionné à hauteur de 3 000 euros pour non respect des articles 32 et 33 du RGPD\u003C/strong>.\u003C/p>\r\n\u003Ch2 id=\"conclusions\">Conclusions :\u003C/h2>\r\n\u003Cp>▶ Le RGPD ne s'applique pas qu'aux entreprises et ces décisions illustrent bien la qualification du \u003Ca href=\"https://www.dastra.eu/fr/article/responsable-de-traitement/392\">\u003Cstrong>responsable de traitement\u003C/strong>\u003C/a> en tant que personne physique, ici, des médecins libéraux.\u003C/p>\r\n\u003Cp>▶ \u003Cstrong>La notification des violations de données doit s'effectuer quelque soit la situation, quand bien même, la violation est connue du grand public, des personnes concernées ou de la CNIL.\u003C/strong>\u003C/p>\r\n\u003Cp>▶ Les \u003Cstrong>recommandations de base en matière de sécurité doivent être mises en oeuvre à tous les niveaux\u003C/strong>, que ce soit au niveau d'une grande entreprise ou d'une très petite entreprise. Pour le monde médical, un guide a été \u003Ca href=\"https://www.cnil.fr/sites/default/files/atoms/files/guide-cnom-cnil.pdf\" rel=\"nofollow\">\u003Cstrong>publié par le CNOM\u003C/strong>\u003C/a>. Pour les avocats, le CNB a fait de même\u003C/p>\r\n\u003Cp>▶ Il est essentiel de s'assurer de la qualité des \u003Ca href=\"https://www.dastra.eu/fr/article/sous-traitant/388\">\u003Cstrong>sous-traitants\u003C/strong>\u003C/a> utilisés et du paramétrage d'un outil professionnel.\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>Découvrez comment piloter ses sous-traitants et respecter le RGPD, \u003Ca href=\"https://www.dastra.eu/fr/contact?type=Demo\">\u003Cstrong>demandez nous une démo\u003C/strong>\u003C/a> !\u003C/p>\r\n\u003C/blockquote>\r\n\u003Cp>Lien vers les sanctions :\u003C/p>\r\n\u003Cp>\u003Ca href=\"https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042676787\" rel=\"nofollow\">https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042676787\u003C/a>\u003C/p>\r\n\u003Cp>\u003Ca href=\"https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042675720\" rel=\"nofollow\">https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042675720\u003C/a>\u003C/p>\r\n",null,908,5,"Deux médecins sanctionnés par la CNIL : de l'importance de notifier les violations !",0,"fr","sanction-medecins-paris-cnil","La CNIL a sanctionné deux médecins libéraux pour violations de sécurité. La preuve que ça n'arrive pas qu'aux grands ! Nous vous livrons les détails et les recommandations à tirer. ",true,"Published",{"id":18,"displayName":19,"avatarUrl":20,"bio":21,"blogUrl":22,"color":7,"userId":18,"creationDate":23},31,"Jérôme de Mercey","https://static.dastra.eu/tenant-10/avatar/31/Zuh7XFZe5EnnTo/design-sans-titre-2-150.png","COO/cofounder","https://www.dastra.eu","2021-11-15T12:57:57","2020-12-31T07:41:05.628","2021-01-04T14:40:55.7781636","2025-08-27T09:28:09.046853",{"id":28,"name":29,"description":30,"url":31,"color":32,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":33},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[34,36,39],{"lang":12,"name":29,"description":35},"Une liste d'articles rédigés par la communauté",{"lang":37,"name":29,"description":38},"es","Una lista de artículos escritos por la comunidad",{"lang":40,"name":29,"description":41},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[43,48],{"id":28,"name":29,"description":30,"url":31,"color":32,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":44},[45,46,47],{"lang":12,"name":29,"description":35},{"lang":37,"name":29,"description":38},{"lang":40,"name":29,"description":41},{"id":49,"name":50,"description":51,"url":52,"color":53,"parentId":28,"count":7,"imageUrl":7,"parent":54,"order":11,"translations":59},9,"News","Stay up to date with the latest news from data protection authorities: decisions, fines, guidelines, and regulatory trends in GDPR and privacy.","news","#1676ca",{"id":28,"name":29,"description":30,"url":31,"color":32,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":55},[56,57,58],{"lang":12,"name":29,"description":35},{"lang":37,"name":29,"description":38},{"lang":40,"name":29,"description":41},[60,63,66],{"lang":12,"name":61,"description":62},"Actualités","Suivez les dernières actualités des autorités de protection des données (CNIL, EDPS, etc.) : décisions, sanctions, lignes directrices et tendances réglementaires en matière de RGPD et de privacy.",{"lang":37,"name":64,"description":65},"Actualidad","Todos los artículos relativos a las autoridades de protección de datos",{"lang":40,"name":67,"description":68},"Nachrichten","Alle Artikel mit Bezug zu Datenschutzbehörden",[],"https://static.dastra.eu/content/a675564c-0df5-4250-ad18-0fb054dbfb6a/violations-cnil-medecins-1000.JPG",[72,73,74,75,76,77,78],"https://static.dastra.eu/content/a675564c-0df5-4250-ad18-0fb054dbfb6a/violations-cnil-medecins-1000.webp","https://static.dastra.eu/content/a675564c-0df5-4250-ad18-0fb054dbfb6a/violations-cnil-medecins.webp","https://static.dastra.eu/content/a675564c-0df5-4250-ad18-0fb054dbfb6a/violations-cnil-medecins-1500.webp","https://static.dastra.eu/content/a675564c-0df5-4250-ad18-0fb054dbfb6a/violations-cnil-medecins-800.webp","https://static.dastra.eu/content/a675564c-0df5-4250-ad18-0fb054dbfb6a/violations-cnil-medecins-600.webp","https://static.dastra.eu/content/a675564c-0df5-4250-ad18-0fb054dbfb6a/violations-cnil-medecins-300.webp","https://static.dastra.eu/content/a675564c-0df5-4250-ad18-0fb054dbfb6a/violations-cnil-medecins-100.webp",383]