Données de santé : la justice sanctionne un responsable de traitement (TGI Marseille, 6ème ch. corr., 07/06/2017

Jusqu’à l’entrée en application du Règlement Général sur la Protection des Données (« RGPD ») le 25 mai prochain ((Le règlement supprime, pour la plupart, les formalités préalables, le responsable de traitement devant néanmoins tenir un registre détaillé des traitements qu’il met en œuvre (article 30 du RGPD).)), à l’exception de ceux entrant dans le champ d’application des dispenses adoptées par la Commission Nationale de l’Informatique et des Libertés (« CNIL »), les traitements de données personnelles doivent faire l’objet de formalités (déclaration ou autorisation((L’article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (« LIL ») dispose que le traitement de données de santé est, par principe, interdit, sauf lorsqu’il répond à certaines finalités (de soin notamment), et qu’ils sont autorisés par la CNIL préalablement à leur mise en œuvre.))) préalablement à leur mise en œuvre.  

A défaut d’accomplir ces formalités, le responsable de traitement s’expose à des sanctions administratives, prononcées par la CNIL, mais également pénales, la mise en œuvre d’un traitement de données personnelles sans respecter les formalités préalables étant un délit passible de 5 ans d’emprisonnement et 300.000 euros d’amende (article 226-16 du code pénal).

C’est sur ce fondement délictuel que le tribunal correctionnel de Marseille, par jugement en date du 7 juin 2017, a condamné un médecin, responsable de traitement, à 5.000 euros d’amende, suite au dépôt d’une plainte pour violation du secret professionnel. En l’espèce, une femme avait découvert dans les résultats d’une recherche Google portant sur ses nom et prénom, la mention « dossier enfant » suivie de son numéro de sécurité sociale. Le lien hypertexte correspondant renvoyait à un site sur lequel il était possible, entre autres, de consulter le dossier médical de son enfant, mais également celui d’autres personnes répertoriées, leurs données personnelles (nom, prénom, NIR) étant librement accessibles.

Outre le caractère illicite du traitement de données mis en œuvre du fait de l’absence d’autorisation de la CNIL, l’enquête a permis de déceler que l’accès libre à ces données sensibles était dû à des failles dans la sécurité de la plateforme en ligne les stockant ((Le médecin responsable de traitement avait mis en place une base de données épidémiologique qui lui permettait, avec son équipe, de suivre les patients et de partager des informations utiles sur leur pathologie et traitements, notamment en cas de transferts vers d’autres hôpitaux. Le prestataire développeur de la plateforme a été relaxé au motif que « l’infraction qui lui est reprochée relative au traitement de données sans précautions pour préserver leur sécurité, suppose, en application de l’article 34 de la loin°78/17 du 6 janvier 1978, que son auteur soit le responsable du traitement. Faute pour Monsieur Z. de revêtir cette qualité de responsable du traitement, il doit être relaxé du chef de cette infraction. » (extrait de la décision).)), qui était en outre externalisée chez un hébergeur non agréé en données de santé ((L’article L. 1111-8 du code de la santé publique impose que les données de santé soient stockées chez des hébergeurs agréés. En l’espèce, le développeur de la plateforme en ligne qu’il faisait héberger chez un hébergeur non agréé de données de santé a été relaxé car aucune preuve n’a permis de déterminer qu’il avait « connaissance de l’externalisation effective des données de santé, et de leur hébergement chez un héberger non agréé » (extrait de la décision).)).

Cette affaire permet de rappeler aux responsables de traitement leurs obligations en matière de protection des données personnelles et les conséquences extrêmement préjudiciables que peut avoir le non-respect de celles-ci, tant pour les personnes concernées (violation de la vie privée, atteinte à la considération de la personne, risques de discrimination du fait d’une pathologie, etc.) que pour le responsable du traitement (sanctions, mais surtout atteinte grave à l’image).

Outre l’obligation d’accomplir les formalités préalables à la mise en œuvre du traitement, le responsable du traitement est garant de la sécurité et de la confidentialité des données traitées. Il doit, par conséquent, prendre toutes les mesures techniques et organisationnelles nécessaires pour assurer un niveau élevé de sécurité des données et de leur flux, en fonction des risques pour les droits et libertés des personnes concernées (article 34 LIL).

Comme c’était le cas en l’espèce, le responsable de traitement fait souvent appel à des prestataires tiers pour procéder au traitement (hébergeur, développeur, etc.). Ceux-ci sont qualifiés de sous-traitants au sens de la LIL et, en tant que tel, doivent apporter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité. Le responsable du traitement doit veiller à ce que ses sous-traitants respectent ces obligations mais reste, en tout état de cause, seul responsable vis-à-vis des tiers (article 35 LIL).  

La sécurisation du système d’information exige ainsi de prendre en compte tous les aspects de sa gestion, tant au niveau organisationnel que technique, et de réévaluer régulièrement les mesures initialement prises. Ces mesures peuvent consister notamment en des processus d’identification et d’authentification performants ((Voir notamment la délibération de la CNIL n° 2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe)), et des techniques éprouvées de chiffrement des données et/ou des canaux de transmission de celles-ci ((Voir notamment l’avis du G29 (groupement regroupant l’ensemble des CNIL européennes) sur les techniques d’anonymisation et de pseudonymisation, en date du 10 avril 2014)).

Afin de garantir un niveau de sécurité toujours plus élevé, le RGPD a entrepris de responsabiliser l’ensemble des acteurs intervenant dans le traitement de données personnelles en consacrant le principe d’ « Accountability »  qui implique la mise en œuvre de mesures techniques et organisationnelles appropriées de nature à garantir le respect des principes de protection des données personnelles tout au long de la vie des traitements et à être à tout moment en mesure de le démontrer. Le 25 mai 2018, l’ensemble des traitements de données déjà mis en œuvre devront être mis en conformité avec les dispositions du RGPD. C’est pourquoi il importe dès à présent de procéder à des audits de conformité qui permettront, entre autres, d’identifier les traitements de données (même insoupçonnés), de déterminer la qualité des mesures de sécurité mises en œuvre et, le cas échéant, de prendre les mesures correctives appropriées pour respecter les principes édictés par le RGPD.