Un médecin de l’Assistance publique-Hôpitaux de Marseille (AP-HM) a été condamné, le 7 juin 2017, à une amende de 5 000,00 euros pour traitement illicite de données relatives à la santé.
On peut légitimement se mettre à la place de cette mère de famille qui, tapant par curiosité son nom dans un moteur de recherche bien connu un soir de février 2013, accède en toute liberté à un mystérieux site internet comprenant notamment le dossier médical de sa grossesse en 2008. Le « dossier enfant » comportait des données personnelles « sensibles », puisqu’outre ses nom et prénom, étaient mentionnés son numéro de sécurité sociale ainsi que des informations sur l’état de santé du bébé et divers commentaires médicaux.
A la suite de l’enquête, ont été renvoyés devant le tribunal correctionnel le pédiatre ayant constitué cette base de données, le directeur du service d’information et de l’organisation de l’AP-HM en poste au moment des faits ainsi que le gérant de la société DBSI, propriétaire du nom de domaine utilisé par le site litigieux.
Les poursuites ont été diligentées pour traitement de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre, concernant les deux premiers, et pour hébergement de données de santé sans l’agrément prévu à l’article L1111-8 du Code de la Santé Publique.
Ce dernier se tirera indemne de la procédure, les juges, faisant application du principe d’interprétation stricte de la loi pénale, ayant souligné que la propriété du nom de domaine ne permettait pas de retenir la qualification d’hébergement illicite de données de santé.
Le directeur de l’information et de l’organisation de l’AP-HM n’a pas été condamné, aucun élément du dossier ne démontrant qu’il avait connaissance de l’externalisation effective des données et des conditions de leur hébergement.
Le médecin a reconnu les faits, tout en soutenant que la direction de l’AP-HM avait toujours été au fait des conditions d’hébergement des données, ce qui a logiquement conduit à sa condamnation pour traitement illicite de données à caractère personnel.
Bien qu’il ressorte implicitement du jugement que le Tribunal considère que le médecin a agi en qualité de responsable de traitement, on ne peut que regretter, ici, que les juges soient restés flous sur la question.
En effet, on sait que le Règlement Général relatif à la Protection des Données (RGPD) prévoit expressément la possibilité de déclarer un sous-traitant co-responsable de traitement.
Voilà en tous cas une décision qui devrait conduire les professionnels de santé hospitaliers à une vigilance accrue en matière de traitement de données relatives à la santé.