Actualités

🚨 Données de santé et protection adéquate ! 🚨

📄 Source : PS 00540-2024

Une mutuelle santé espagnole a été sanctionnée de 600 000 € pour une atteinte à la confidentialité.

📩 Les données de 3 395 salariés en arrêt maladie ont été envoyées par erreur à 354 entreprises clientes.

💡 Un simple bug informatique peut exposer des données sensibles et entraîner des conséquences juridiques et financières majeures.

🔍 Données compromises

• Données personnelles : Nom, prénom, âge, numéro de sécurité sociale…
• Données sensibles :

• Motif de l’arrêt (maladie, accident)
• Statut de l’arrêt
• Dates de début et de fin
• Nombre de jours d’absence
• Employeur
• Montant des prestations
• Code métier
• Statut accident du travail ou de trajet

📎 L’erreur provenait d’un bug dans le système de notifications automatiques.
→ Des fichiers Excel étaient joints par erreur aux e-mails envoyés via la plateforme Ibermutua Digital.

⚠️ Violations constatées

L’AEPD a estimé que cette violation portait atteinte à l’article 5.1.f du RGPD, relatif à l’intégrité et à la confidentialité des données.

👉 Ibermutua n’a pas assuré un niveau de protection suffisant pour ces données.

Facteurs aggravants :
• Nombre élevé de personnes concernées : 3 395 victimes
• Données de santé, relevant de catégories spéciales exigeant une protection renforcée (article 9 du RGPD)
• Absence de mesures préventives : contrôles de sécurité insuffisants, aucun test préalable avant l’envoi de données sensibles

⚖️ Sanctions et obligations

• Amende initiale : 1 000 000 €, réduite à 600 000 € après reconnaissance de responsabilité et paiement anticipé

📌 Mesures correctrices imposées :
✅ Revoir les procédures de sécurité pour éviter les erreurs d’envoi
✅ Mettre en œuvre un nouveau système sécurisé sur AWS pour la gestion des accès et l’envoi des documents
✅ Renforcer les audits et les contrôles sur les traitements de données