La Cnil a décidé de rendre publique la mise en demeure du centre hospitalier de Saint-Malo, « en raison de la sensibilité des données [à savoir des données de santé], de la gravité des manquements constatés, du nombre de personnes concernées et de la nécessité de prévenir le renouvellement de tels manquements ».
En juin 2013, elle a effectué un contrôle au sein de l’établissement, qui « a permis de relever [qu’un] prestataire mandaté par l’hôpital a pu accéder aux dossiers médicaux de 950 patients ». Dans sa décision, la Cnil pointe ainsi « un manquement à l’obligation de veiller à la sécurité et à la confidentialité des données ».
Nomenclature de codage
Le prestataire extérieur avait pour mission d’optimiser la nomenclature de codage de la prise en charge des malades mise en place par le centre hospitalier, selon la Cnil. Ces « manquements » ont conduit la commission « à mettre en demeure le centre hospitalier de veiller à ce que les dossiers des malades ne puissent pas être accessibles par des tiers », et notamment le prestataire en question.
A l’issue d’un délai de dix jours, il était prévu que la procédure serait « close », si le centre s’était conformé à la mise en demeure ; dans le cas contraire, il encourait une amende s’élevant à 1,5 million d’euros.
