NOTE DE JURISPRUDENCE : Des précisions sur les risques encourus quant à la création d’un traitement de données de santé illicite

NOTE DE JURISPRUDENCE : Des précisions sur les risques encourus quant à la création d’un traitement de données de santé illicite

NOTE DE JURISPRUDENCE : Des précisions sur les risques encourus quant à la création d’un traitement de données de santé illicite 

TGI de Marseille, 6ème chambre correctionnelle, jugement du 7 juin 2017, « Le Procureur de la République, AP-HM / M. X., Mme Y. et M. Z. »

 

Par Coraline GUESTIN et Laura Bouteille, juristes, apprenties du centre de droit Jurisanté du CNEH

 

Que s’est-il passé ?

Un praticien hospitalier d’un service de néonatologie de l’AP-HM a créé un traitement de données de santé afin de mettre en place une base de données épidémiologiques, d’évaluer la qualité de son service et de développer un réseau de santé.

Or le praticien n’avait pas demandé d’autorisation de création d’un traitement de données auprès de la Commission nationale informatique et liberté (CNIL) et avait fait appel à un prestataire qui n’était pas agréé pour l’hébergement des données de santé.

Une patiente de son service s’est aperçue qu’elle pouvait accéder, via le moteur de recherche Google, au dossier de naissance de son fils et également à d’autres dossiers médicaux, sans que l’accès en soit protégé. Elle a porté plainte du chef de violation du secret professionnel.

 

Trois personnes physiques ont été poursuivies :

  • Monsieur X, Directeur du Service d’Information et de l’Organisation de l’AP-HM au moment des faits ;
  • Le Docteur Y, praticien de l’APHM, qui a mis en place la base de données épidémiologiques destinée au suivi des bébés prématurés, à l’amélioration de la collaboration entre les acteurs médicaux et à l’évaluation du service de néonatalogie ;
  • Monsieur Z, gérant d’une société d’informatique que le Docteur Y a retenu pour faire un test relatif à la mise en place de la base de données sur l’Hôpital. Il a ainsi constitué le logiciel entre 2009 et 2011, qui comprenait la mise en ligne d’un portail de saisie sur internet, lequel était hébergé chez l’hébergeur … à Marseille, lequel n’était pas agréé pour les données de santé; ce portail était accessible avec un login et un mot de passe.

 

Quels sont les textes applicables ?

Le tribunal de grande instance de Marseille s’appuie sur l’article 226-17 du Code pénal, lequel dispose : « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ».

Il rappelle également la nécessité au titre de l’article L. 1111-8 du code de la santé publique de faire appel à un hébergeur de données de santé agréé.

 

Quelle est la question posée ?

Quels sont les risques juridiques encourus en cas de mise en ligne de données médicales sans respecter les procédures relatives à l’hébergement, aux traitements de données, et à la protection de leur confidentialité ?

 

Quelle décision ?

Les juges constatent les faits suivants :

  • Monsieur Z a confirmé à l’audience avoir créé le logiciel et l’avoir mis sur un site provisoirement, pour vérifier son bon fonctionnement, en précisant que lorsque le logiciel est mis sur le site, il ne contient encore aucune donnée ;
  • Monsieur X., Directeur du Service d’Information et de l’Organisation de l’AP-HM au moment des faits, a exposé que le docteur Madame Y. avait un projet de développement d’un système informatique visant à collecter des données sur des grossesses, mais que son service n’y a finalement pas donné suite, n’ayant ni le temps, ni les ressources nécessaires, que le docteur Madame Y. a mené seule son projet. Il a affirmé ne pas avoir participé à la demande de développement et d’hébergement, celui-ci ayant été géré par Madame Y. à l’insu de son service.

 

En conclusion, le tribunal correctionnel déclare

  • Madame Y. qui n’a pas contesté avoir fait procéder à un traitement informatisé de données médicales sans autorisation de la CNIL, coupable de l’infraction reprochée à cet égard, en qualité de « responsable du traitement » ;
  • Monsieur Z., non coupable, l’infraction qui lui est reprochée relative au traitement de données sans précautions pour préserver leur sécurité, supposant, en application de l’article 34 de la loi n°78/17 du 6 janvier 1978, que son auteur soit le responsable du traitement.

Par ailleurs, il sera relaxé du chef d’hébergement de données de santé sans être titulaire de l’agrément (art.L1111-8 CSP), la société de Monsieur Z. n’étant pas l’hébergeur des données médicales, et les dispositions légales précitées ne sanctionnant en aucun cas le fait d’avoir fait héberger des données de santé par un héberger non agrée.

  • Monsieur X. non coupable, étant entendu qu’il n’a pas eu connaissance de l’externalisation effective des données médicales, et de leur hébergement chez un héberger non agréé.

 

Commentaire :

Les données médicales sont des informations particulièrement sensibles. Par conséquent, elles nécessitent un haut niveau de sécurité. Les professionnels de santé ou les responsables des fichiers doivent alors prendre les mesures nécessaires à la confidentialité et ne permettre leur accès qu’aux personnes habilitées en raison de leurs fonctions.

De ce fait, les réseaux de santé ayant pour objectif de partager des données médicales via internet doivent obligatoirement en faire la demande auprès de la CNIL. En cas de non-respect de ces obligations, tant par négligence que par absence de mesures de sécurité, l’auteur des faits s’expose à une sanction pénale.

C’est le cas en l’espèce puisque le praticien hospitalier avait procédé à un traitement informatisé des données médicales sans autorisation de la CNIL. De ce fait, il a été condamné à une amende de 5.000 euros.

Le traitement informatisé dans données de santé est en pleine expansion, toutefois, étant donné le risque très important de violation du secret professionnel, il convient de se montrer extrêmement vigilant dans la création d’un tel réseau comme en atteste cette récente décision du TGI de Marseille.

En établissement de santé, deux précautions sont ainsi à prendre :

  • Une information approfondie des professionnels de santé sur le cadre juridique régissant la constitution de base de données nominatives de santé ;
  • Une organisation rigoureuse des process internes de validation et de sécurisation juridique de tels projets (hébergement, dossier CNIL, relations contractuelles avec les prestataires…), afin d’éviter la mise en place de pratiques illégales