Hébergement et traitement illicite de données de santé

Un médecin hospitalier est sanctionné pour avoir procédé à un traitement illicite de données de santé. Les décisions faisant application des règles relatives au traitement et à l’hébergement de données de santé sont suffisamment rares pour que le jugement rendu par le Tribunal de grande instance de Marseille le 7 juin 2017 (1) soit commenté.

Les faits de l’espèce

Dans cette affaire, un patient de l’Assistance publique – Hôpitaux de Marseille (ci-après, l’« AP-HM ») a déposé une plainte du chef de violation du secret professionnel à l’encontre de cet hôpital, expliquant qu’il avait pu retrouver sur internet, en tapant son nom et son prénom, ses données et notamment son numéro de sécurité sociale, ainsi que le dossier médical concernant la naissance de son fils. Il pouvait également accéder et modifier l’ensemble des dossiers médicaux présents sur cette plateforme internet, sans qu’aucune identification ou authentification ne lui soit demandée.

Après avoir requis la fermeture du site internet, l’AP-HM a également déposé plainte, après avoir identifié un praticien hospitalier comme étant responsable de la mise en place de la plateforme internet contenant des dossiers patients et une base épidémiologique. Cette plateforme avait été créée à l’initiative de ce praticien et permettait à son équipe, de suivre la prise en charge des patients.

Dans le cadre de l’enquête, il a été découvert que l’hébergeur de la base de données n’était pas agréé pour l’hébergement de données de santé et que l’identification et l’authentification à la base n’étaient pas sécurisées.

Les trois personnes suivantes ont été poursuivies :

• le responsable de la Direction des Systèmes d’Information et de l’Organisation (DSIO) de l’AP-HM pour avoir procédé ou fait procéder à un traitement de données à caractère personnel sans prendre les mesures de sécurité nécessaires ;
• le praticien à l’initiative du traitement, pour avoir procédé ou fait procéder à un traitement de données à caractère personnel sans autorisation de la Cnil ;
• le gérant de la société ayant procédé à la création de la plateforme internet qui servait à la réalisation du traitement, d’une part, pour avoir procédé au traitement sans prendre les mesures de sécurité nécessaires et, d’autre part, pour avoir hébergé des données de santé à caractère personnel sans agrément ou choisi un hébergement non agréé.

Traitement illicite de données de santé

Le praticien a été condamné à une amende de cinq mille euros pour traitement de données à caractère personnel sans autorisation de la part de la Cnil.

En effet, certains traitements de données de santé à caractère personnel, visés à l’article 25 de la loi Informatique et libertés (L. 78-17), sont soumis à autorisation de la Cnil. Le montant de la sanction pour non-respect des obligations découlant de cette loi peut atteindre jusqu’à trois millions d’euros depuis la loi pour une République numérique (art. 65 qui a modifié l’art. 47 de la L. 78-17).

Il appartenait ainsi au praticien, en tant que responsable du traitement, d’effectuer cette demande d’autorisation, en particulier en ce qu’il avait été à l’initiative de la création de la plateforme, avait rédigé son cahier des charges technique et fait appel à un prestataire technique pour sa réalisation.

Quant aux deux autres personnes mises en cause, elles ont été relaxées dans la mesure où, d’une part, le DSIO n’avait pas participé au développement de la plateforme et, d’autre part, le gérant de la société ayant procédé à la création et à la mise en ligne de la plateforme sur internet n’avait pas la qualité de responsable du traitement.

L’AP-HM aurait pu être mise en cause si le praticien n’avait pas agi seul et que la plateforme avait été développée en partenariat avec l’AP-HM, par le biais, par exemple, de contributions humaines et financières.

Hébergement illégal de données de santé

Il est ensuite reproché au gérant de la société ayant conçu la plateforme et l’ayant mise en ligne de ne pas être agréé en tant qu’hébergeur de données de santé à caractère personnel ou de ne pas avoir choisi un hébergeur agréé pour l’hébergement de données de santé à caractère personnel.

En effet, en application du premier alinéa de l’article L. 1111-8 du Code de la santé publique :

« Toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet ».

L’article L. 1115-1 du Code de la santé publique sanctionne tout hébergeur de données de santé n’ayant pas été agréé pour l’hébergement de données de santé à caractère personnel conformément à l’article L. 1111-8 précité.

Toutefois, le gérant est également relaxé de ce chef.

En effet, d’une part, il n’est pas l’hébergeur des données, celui-ci ayant seulement procédé à la création de la plateforme ainsi qu’à sa mise en ligne temporaire et, d’autre part, l’article L. 1115-1 précité ne sanctionne pas le fait d’avoir fait appel à un hébergeur tiers non agréé mais seulement le fait d’héberger des données de santé sans agrément.

Seul le véritable hébergeur de la plateforme internet, s’il avait été mis en cause dans cette affaire, aurait pu être condamné sur ce fondement.

Marguerite Brac de La Perrière
Chloé Gaveau
Lexing Santé numérique

(1) TGI de Marseille, 6ème ch. corr., 7-6-2017.