Ces deux professionnels de santé ont « insuffisamment protégé les données personnelles de leurs patients », outre oublié d’avoir notifié une violation de données à la commission. « Des milliers d’images médicales hébergées sur des serveurs (…) étaient librement accessibles sur Internet ».
Les deux médecins avaient reconnu que « les violations de données avaient pour origine un mauvais choix de configuration de leur box Internet ainsi qu’un mauvais paramétrage de leur logiciel d’imagerie médicale ». Ces images par ailleurs « n’étaient pas systématiquement chiffrées ».
Manquement à l’obligation de sécurité des données (article 32 du RGPD) et manquement à l’obligation de notifier les violations de données (article 33 du RGPD) sont épinglés dans les délibérations.
« En effet, les deux médecins n’ont pas effectué ces notifications obligatoires auxquelles ils auraient dû procéder après avoir appris que les images médicales de leurs patients étaient librement accessibles sur Internet ».
Les délibérations ont été rendues disponibles sur le site de l’autorité, mais sans que soit révélé le nom des deux professionnels. La CNIL a « souhaité assurer la publicité de ces décisions pour alerter les professionnels de la santé sur leurs obligations et la nécessité de renforcer leur vigilance sur les mesures de sécurité apportées aux données personnelles qu’ils traitent ».
« Cette vigilance doit les conduire à choisir les solutions applicatives présentant le maximum de garanties en termes de sécurité informatique et de protection des données personnelles ».