La première amende au titre du RGPD concerne donc un établissement de santé au Portugal. Un article du site Exam Informatica informe que le CNPD (Comissão Nacional de Proteção de Dados), l'équivalent de la Cnil, a infligé une sanction financière de 400 000 euros au Centre Hospitalier Barreiro-Montijo, proche de Lisbonne, pour manquement au règlement européen. Les faits remontent à juin dernier après une inspection diligentée suite à une alerte émise par l'ordre des médecins.

Le régulateur a constaté que plusieurs personnels administratifs avaient des accès réservés aux médecins. En parallèle, il a observé que 985 médecins avaient des habilitations pour accéder au dossier médical des patients, alors que l'établissement ne comprend que 296 médecins. Cet écart s'expliquerait par la présence de vacataires, mais le hic est que les comptes de ces médecins temporaires demeurent tout le temps actifs. Enfin, la délégation du régulateur a créé un compte test et a pu avoir accès à des données patients, montrant une faiblesse dans la gestion des comptes (habilitation, gestion des profils, ...).

Des arguments faibles et une sanction forte

L'établissement de santé s'est défendu dans un premier temps en soulignant l'incompétence du régulateur au motif que le RGPD n'a pas été adapté en droit national. Un argument qui ne tient pas, car le règlement produit ses effets directement dans le corpus juridique des Etats membres sans transposition. Autre argument, la politique d'habilitation à certaines données est définie par des entités tierces, notamment les services IT du ministère de la santé. Enfin, le centre hospitalier considère ne pas avoir les outils informatiques adéquats pour gérer les différents scénarios d'accès aux données patients. Une excuse peu valable, car les solutions actuelles comprennent une gestion fine des habilitations.

Des raisonnements qui n'ont manifestement pas convaincu le CNPD. Ce dernier a reconnu trois infractions au RGPD : violation des principes d'intégrité et de confidentialité des données, violation du principe de limitation d'accès aux données et incapacité pour le responsable du traitement des données à garantir l'intégrité des données. Pour les deux premiers manquements, le régulateur inflige 150 000 euros d'amende et 100 000 euros pour la troisième infraction. Le centre hospitalier peut faire appel de cette décision.