Un hôpital portugais condamné à 400 000 d’euros pour non-respect du RGPD

La CNPD (équivalent de la CNIL au Portugal) a condamné l’hôpital de Barreiro à une amende de 400 000 euros pour de multiples défauts dans la gestion de données personnelles, enfreignant le RGPD.

La CNPD a relevé plusieurs manquements dans les procédures de gestion des accès :

  • Les comptes inactifs ou de personnel ne travaillant plus dans l’hôpital ne sont pas désactivés. En tout, 985 médecins disposaient d’un accès aux dossiers patients informatisés (DPI) alors que seuls 296 travaillaient dans l’établissement. L’hôpital explique cet écart par les passages temporaires de professionnels de santé.
  • L’absence d’une procédure indiquant les règles à suivre pour la création d’un compte. Ainsi, la CNPD a pu, à partir d’un compte test, accéder aux données d’un patient hospitalisé dans un autre hôpital.
  • L’absence d’une procédure indiquant les règles à suivre pour l’attribution d’accès, de privilèges. La CNPD a relevé que 9 employés disposaient d’un accès normalement réservé aux médecins.
  • L’absence de niveaux d’habilitations pour l’accès au DPI, les techniciens disposaient des mêmes habilitations que les médecins. L’hôpital a affirmé que les solutions utilisées ne permettaient pas de gérer assez finement les niveaux d’habilitations.

La CNPD a donc condamné l’hôpital pour violation du principe d’intégrité et de confidentialité, violation du principe du moindre privilège et incapacité du responsable de traitement de garantir la confidentialité et l’intégrité des données.