Dans une décision du 22 février 2024 (1), le Garant de la protection des données personnelles (« GPDP »), homologue italien de la Cnil, a infligé une amende de 75 000€ à une société gérant sept hôpitaux pour accès non autorisé à des dossiers médicaux par son personnel.
Quel est le contexte de la décision ?
Le GPDP sanctionne l’accès non autorisé aux dossiers médicaux
Le GPDP consécutivement au dépôt de trois plaintes à l’encontre de la société gérant les hôpitaux, concernant des accès répétés et non autorisés à des dossiers patients électroniques par des membres du personnel médical non impliqués dans le suivi desdits patients.
Par exemple, une professionnelle de santé avait réussi à consulter les analyses de laboratoire de son ex-mari sans son consentement, alors même qu’elle n’était pas impliquée dans sa prise en charge.
Quels sont les manquements observés dans l’accès aux dossiers médicaux ?
Le GPDP sanctionne l’accès non autorisé aux dossiers médicaux
L’Autorité italienne a fondé sa décision sur les articles 5, 9, 25 et 32 du Règlement général sur la protection des données (« RGPD »), afin de retenir le « caractère illicite du traitement des données personnelles effectué par la société ».
- Pour le GPDP, la société a manqué à son obligation de sécurité du traitement des données de santé à caractère personnel, notamment en :
- • permettant au personnel d’accéder aux dossiers patients électroniques, par auto-certification ;
- • autorisant par défaut un large éventail de professionnels, y compris le personnel administratif sans lien avec les soins des patients, à avoir accès aux dossiers patients électroniques ;
- • ne mettant en place aucun système d’alerte afin de détecter les comportements anormaux ou à risque liés aux opérations effectuées par les responsables de traitement.
D’après le GPDP ces différents manquements constituent à la fois des violations du RGPD et une transgression des « Lignes directrices sur les dossiers médicaux » émises en juin 2015. Ces lignes directrices rappellent notamment que l’accès au dossier médical doit être limité aux seuls personnels de santé qui interviennent dans le processus de prise en charge des patients.
En plus de l’amende administrative de 75 000€ infligée à la société, le GPDP a également ordonné de mettre en œuvre des mesures techniques et organisationnelles nécessaires afin d’assurer la sécurité des données personnelles traitées et d’éviter tout accès non autorisé aux dossiers médicaux des patients.
Conclusion
Le GPDP sanctionne l’accès non autorisé aux dossiers médicaux
Cette décision fait écho à la sanction infligée par l’Autorité Espagnole de Protection des Données (« AEPD ») à un hôpital en novembre 2022 pour défaut de précautions empêchant l’accès non autorisé aux dossiers médicaux des patients (2). De son côté, la Cnil a récemment mis en demeure plusieurs établissements de santé d’adopter des mesures pour sécuriser le dossier patient électronique (3). Elle a insisté sur la nécessité de restreindre l’accès aux données médicales aux seuls professionnels habilités et justifiant d’un besoin légitime.
Isabelle Chivoret
Avocate, Directrice du département Santé numérique
Émilie Brulon
Avocate, Département Santé numérique
Pour en apprendre davantage
À l'aube d'une ère où l'intelligence artificielle (IA) est en passe de devenir un compagnon quotidien...
Les intelligences artificielles génératives telles que ChatGPT constituent une révolution pour les professionnels du droit...