Données de santé : mise en demeure de la Cnil

Une mise en demeure de la Cnil a été prononcé à l’encontre d’un centre hospitalier. Par délibération du 25  septembre 2013, la Cnil a prononcé une mise en demeure à l’encontre d’un centre hospitalier, constatant un double manquement à ses obligations de veiller à la sécurité et la confidentialité des données, au respect de la vie privée et des libertés individuelles. La sensibilité des données, le nombre de personnes concernées, la gravité des manquements et la nécessité de prévenir leur renouvellement ont conduit la Commission à rendre publique la décision.

La mise en demeure de la Cnil porte injonction de :

• mettre en œuvre les mesures garantissant la sécurité et la confidentialité des dossiers médicaux des patients pris en charge par l’établissement ;
• veiller à ce que les dossiers des patients ne puissent être accessibles aux tiers ;
• justifier du respect des demandes précitées auprès de la Cnil sous 10 jours (1).

En l’espèce, dans le cadre de ses missions -codage des actes médicaux et paramédicaux réalisés au sein de l’établissement-, un prestataire externe à l’établissement, sous-traitant de celui-ci, accédait aux dossiers médicaux :

• numériques avec des habilitations identiques à celles d’un profil DIM (2) ;
• papiers dans le bureau des archives de l’établissement, hors la présence constante du médecin DIM ou d’un membre de son équipe ;
• comportant des données nominatives.

Couvertes par le secret médical (CSP, art. L1110-4), les données de santé à caractère personnel ne doivent pourtant pouvoir être rendues accessibles qu’aux professionnels de santé ayant la charge médicale du patient. Il convient à ce titre de rappeler que la violation du secret médical peut être sanctionnée d’une peine d’emprisonnement et d’une amende de 1.500.000 € (CSP, art. R3113-5) (3).

Le responsable de traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès (4). Le fait de recourir à un sous-traitant, agissant sur ses instructions ne le décharge aucunement des obligations susmentionnées (5). S’agissant du sous-traitant, il est tenu d’agir conformément aux instructions du responsable de traitement et, le cas échéant, aux termes de l’autorisation obtenue de la Cnil.

Il en résulte que les établissements de santé ou, plus généralement, les responsables de traitements de données de santé à caractère personnel, doivent prendre toutes mesures de sécurité physiques et logiques pour garantir la sécurité et la confidentialité des données de santé auxquelles accède tout personnel n’ayant pas la charge du patient et/ou sous-traitants -incluant tout type de personnel ou prestataire technique dont l’hébergeur-, telles que, selon le profil et ses missions :

• élaboration d’une politique de sécurité ;
• habilitation et droits spécifiques en fonction du profil ;
• identification / authentification forte et individuelle ;
• chiffrement des données ;
• « dépersonnalisation » des données ;
• sécurisation des accès physiques aux locaux et des postes de travail ;
• encadrement par un médecin.

Relevons que le centre hospitalier concerné par les faits d’espèce a indiqué avoir pris les mesures qui s’imposaient permettant ainsi la clôture du dossier et de la procédure de contrôle par la Cnil.

Marguerite Brac de La Perrière
Lexing Droit Santé numérique

(1) Cnil, Décision n° 2013-037 du 25-9-2013
(2) Département d’information médicale, placé sous la responsabilité d’un médecin
(3) C. pén. art. 121-2, 137-37, 131-38, 226-17.
(4) Loi n° 78-17 du 6-1-1978, art. 34
(5) Loi n° 78-17 du 6-1-1978, art. 35