le 22/11/2018

Premières sanctions RGPD en Europe

Le 19 octobre 2018, la Comissão Nacional de Proteção de Dados (l’équivalent de la CNIL portugaise) a condamné l’hôpital de Barreiro à 400.000 euros d’amende pour violation des principes et obligations issus du règlement général sur la protection des données (RGPD).

Il s’agit de la toute première condamnation en matière de RGPD en Europe.

Un contrôle de l’hôpital avait eu lieu en juin 2018 où, selon la revue CIO[1], les agents de la Comissão ont pu constater que plusieurs personnels administratifs, en l’occurrence des vacataires, avaient accès à des comptes réservés aux médecins de l’hôpital. A titre d’illustration, les contrôleurs ont constaté que l’hôpital employait 296 médecins alors qu’il existait 985 comptes informatiques dédiés aux médecins. Les comptes des médecins temporaires restaient donc actifs en permanence. A la suite de cet écueil, les agents de la Comissão ont créé un compte fictif identique à ceux des nouveaux arrivants et ont constaté qu’ils avaient accès à un grand nombre de fichiers nominatifs des patients de l’hôpital. Il n’y avait donc pas une politique d’habilitation et de hiérarchisation dans l’accès aux données.

La sanction prononcée a été répartie comme suit[2] :

  • violation des principes d’intégrité et de confidentialité des données : 150.000 euros ;
  • violation du principe de limitation d’accès aux données : 150.000 euros ;
  • incapacité pour le responsable du traitement des données à garantir l’intégrité des données : 100.000 euros.

Cette décision était très attendue et peut surprendre du fait du montant de la sanction qui a été prononcée. La somme de 400.000 euros peut paraitre très élevée pour ce genre l’organisme public.

Ensuite, on peut légitiment se demander quelle va être la réaction de Commission nationale de l’informatique et des libertés face à cette situation. Bien que celle-ci n’ait jamais prononcé de sanction au fondement du RGPD, les sanctions prononcées par celle-ci peuvent aujourd’hui paraitre bien faibles comparées à celles de la Comissão.

Enfin, on peut légitimement espérer que les futures réunions du Comité européen de la protection des données (l’autorité européenne chargée de la protection des données dont le rôle principal est de contribuer à l’application du Règlement général sur la protection des données) permettront d’apporter des précisions quant aux sanctions encourues entre les différents manquements au RGPD.

L’hôpital de Barreiro a saisi la justice pour contester cette sanction[3].

[1] https://www.cio-online.com/actualites/lire-premiere-amende-rgpd-pour-un-hopital-portugais-10762.html

[2] http://exameinformatica.sapo.pt/noticias/mercados/2018-10-19-CNPD-Hospital-do-Barreiro-multado-em-400-mil-euros-por-permitir-acessos-indevidos-a-processos-clinicos

[3] https://www.publico.pt/2018/10/22/sociedade/noticia/hospital-barreiro-contesta-judicialmente-coima-400-mil-euros-comissao-dados-1848479