Données de santé : un médecin condamné pour mise en oeuvre d'un traitement sans autorisation

Une pédiatre a mis en œuvre un traitement de données relatif aux patients soignés dans son service, hébergé sur un serveur indépendant de celui de l’hôpital.

 

Une ancienne patiente, faisant des recherches sur internet, tombe inopinément sur des données de nature médicale relatives à la naissance de son fils, mais également sur son numéro de sécurité sociale et sur des données concernant d’autres patients. Ces données pouvaient être consultées, modifiées ou supprimées librement.

 

Après avoir alerté l’hôpital, elle porte plainte pour violation du secret professionnel. L’enquête révèle que le traitement a été créé en dehors du système informatique de l’hôpital, qu’il a été hébergé chez un professionnel non agréé pour héberger des données de santé et qu’aucune demande d’autorisation préalable n’a été demandée à la CNIL.

 

La lecture du jugement laisse entendre que ce site a fonctionné pendant 3 ans. Si la responsabilité de la pédiatre, qui a mis en œuvre le traitement, a été légitimement reconnue, l’absence de responsabilité retenue à l’encontre du responsable de la Direction des systèmes d’information (DSI) de l’hôpital et du prestataire informatique, quand bien même justifiée au sens de l’interprétation stricte des textes en matière pénale, est plus surprenante, voire stupéfiante.

Lors de son audition, la pédiatre responsable de la création du traitement incriminé explique qu’elle a souhaité créer un dossier médical et de suivi ainsi qu’une base de données épidémiologiques pour le suivi des bébés prématurés. L’objectif était d’améliorer la collaboration entre les acteurs médicaux par un partage des informations, notamment en cas de transfert vers d’autres hôpitaux et d’évaluer le service de néonatalogie et le réseau de suivi.

 

Elle ajoute que ces informations étaient uniquement destinées à l’usage des professionnels médicaux. La pédiatre reconnaît avoir contacté la société du prestataire informatique poursuivi dans la procédure pour la création du portail de saisie des données et déclare lui avoir transmis les données médicales.

 

Elle est poursuivie et condamnée au paiement d’une amende de 5000 euros pour avoir fait procéder à ces traitements de données à caractère personnel sans autorisation préalable de la CNIL, en application des articles 226-16 al. 1, 226-16 et 226-31 du code pénal et 25 et suivants de la loi du 6 janvier 1978.

 

Si la violation des dispositions législatives concernant le traitement de données à caractère personnel relatives à la santé est expressément mentionnée dans la décision, il n’est pas fait mention du numéro de sécurité sociale soumis pourtant aux mêmes obligations et restrictions et qui constitue une infraction complémentaire.

 

Pour rappel, tout traitement de données à caractère personnel relatives à la santé doit faire l’objet d’une demande d’autorisation expresse à la CNIL et qu’il convient d’attendre ladite autorisation pour mettre en œuvre le traitement. Toute modification de ce traitement doit suivre la même procédure préalable. Cette procédure s’applique également au traitement du numéro de sécurité sociale qui est devenu l’identifiant de santé.  Les mêmes obligations demeureront lors de l’entrée en vigueur du règlement européen (pour la protection des données qui exige de surcroît la réalisation préalable d’une analyse d’impact des opérations de traitement envisagées sur la protection des données à caractère personnel (Règl. (UE) 2016/679 du Parlement européen et du Conseil, 27 avr. 2016 : JOUE n° L 119/1, 4 mai). Ces obligations incombent au responsable du traitement défini comme la personne (ou le service ou encore l’organisme) qui en détermine ses finalités et ses moyens, le nouveau règlement européen susmentionné reprenant cette définition.

 

En l’espèce, le médecin pédiatre, responsable du service au sein duquel ce traitement a été mis en œuvre et qui en a défini elle-même la finalité et les moyens peut être considérée comme la « responsable du traitement » et condamnée à ce titre pour ne pas avoir respecté les obligations qui lui incombaient.

Dans cette affaire, le responsable de la DSI concerné est poursuivi pour avoir fait procéder, en violation des articles 226-17, 226-22-2 et 226-31 du code pénal ainsi que des articles 2 et 34 de la loi du 6 janvier 1978, à un traitement automatisé d’informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés. En l’espèce, il n’a pas assuré la protection, la confidentialité et la sécurité des dossiers médicaux hospitaliers informatisés concernant des enfants et des femmes hospitalisés dans l’unité de néonatalogie de l’hôpital et a participé à leur externalisation dans le cadre du développement d’un projet de réseau de santé pour des enfants nés prématurés.

La pédiatre, qui a mis en œuvre le traitement incriminé, soutient que la DSI de l’hôpital était parfaitement informée de l’existence de ce traitement et de son hébergement par une société tierce et qu’elle n’a manifesté aucune réaction à cette information, en validant ou non l’hébergeur ou en proposant de faire héberger ce traitement directement par l’hôpital. Le responsable de la DSI se défend en arguant que si une telle demande de développement a en effet été effectuée par la pédiatre, son service n’y a pas donné suite faute de temps et de moyens nécessaires, et qu’il n’était pas au courant que le développement et l’hébergement du traitement avait été finalement confiés à une société tierce.

 

Quand bien même la possibilité d’engager la responsabilité du responsable de la DSI est validée, du fait d’une délégation de pouvoir qui lui est attribuée en bonne et due forme, le tribunal juge que dès lors qu’aucun document ne vient prouver qu’il a eu connaissance de l’externalisation effective des données médicales, et de leur hébergement chez un hébergeur non agréé, il doit être relaxé.

 

L’absence de l’élément moral de l’infraction  permet au responsable de la DSI d’échapper à la condamnation pénale. Il convient toutefois de rappeler que la DSI de tout établissement quel qu’il soit, qui traite des données à caractère personnel, de surcroît considérées comme sensibles, telles les données de santé, a une obligation de vigilance particulière concernant le respect des obligations préalables à leur traitement mais également à leur sécurité. Il doit donc veiller à ce que de telles données soient traitées en conformité avec la loi sur le réseau informatique de l’établissement et encadrer strictement les accès à ces données. Il doit également veiller à l’usage fait des moyens informatiques mis à disposition des personnels employés par l’établissement et leur rappeler leurs droits et obligations à cet égard, notamment le respect de la loi du 6 janvier 1978.

Le responsable de la société informatique qui a sous-traité la mise en œuvre du traitement des données litigieux a été contacté par la pédiatre responsable du traitement pour le mettre en œuvre dans le cadre d’un projet plus large qui n’a pas abouti mais dont une phase de test a toutefois été retenue. Il était donc parfaitement au courant de la teneur médicale des données traitées et a tout de même choisi de les faire héberger par un hébergeur non agréé.

 

Ce responsable est donc poursuivi de deux chefs d’accusation.

D’une part, il lui est reproché d’avoir, en violation des articles 226-17, 226-22-2, 226-31 du code pénal et 2 et 34 de la loi du 6 janvier 1978, procédé à un traitement automatisé d’informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés. En l’espèce, il a créé un portail de saisie de données informatisées de santé concernant des enfants et des femmes hospitalisés dans l’unité de néonatalogie de l’hôpital sans s’assurer de la sécurisation de ce portail.

 

Il est poursuivi, d’autre part, pour avoir - en violation des articles L. 1115-1, L. 11115-8, R. 1111-15, R. 1111-15-1 et R. 1111-16 du code de la santé publique - hébergé ou fait héberger des données à caractère personnel sans agrément délivré par le ministre chargé de la santé.  Il a choisi en, connaissance de cause, un hébergeur rémunéré par lui qui n’est pas agréé et qui n’est pas sécurisé alors qu’il s’agissait de traiter des données informatisées de santé.

 

Concernant le premier chef d’accusation, le tribunal considère toutefois que le prestataire informatique, ne revêtant pas la qualité de responsable du traitement, ne peut pas être condamné sur le fondement de l’article 34 de la loi du 6 janvier 1978 et doit en conséquence être relaxé. En effet, l’article 34 vise exclusivement le « responsable du traitement » auquel il impose de prendre « toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données … ».

 

Dans la loi du 6 janvier 1978, le sous-traitant agit sous l’autorité du responsable du traitement et uniquement sur son instruction. Il doit toutefois présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité des données. Le sous-traitant n’étant pas responsable du traitement dans la mesure où il ne détermine pas les finalités, ni les moyens du traitement et où il agit exclusivement sur instruction du responsable du traitement, il n’a aucune obligation déclarative en ce qui concerne le traitement lui-même, celle-ci incombant au responsable du traitement qui doit mentionner le recours à un sous-traitant.

 

Le règlement européen relatif à la protection des données définit plus précisément les obligations des sous-traitants au regard de la protection des données à caractère personnel qu’ils sous-traitent. Quand bien même la loi du 6 janvier 1978 n’impose pas cette obligation au sous-traitant, le devoir de conseil d’un prestataire informatique à un médecin, n’aurait-elle pas dû le conduire à informer sa cliente de ses obligations au regard de la loi du 6 janvier 1978 ? Mais il s’agit là d’une responsabilité de nature civile et non pénale.

 

Par ailleurs, concernant la seconde infraction qui lui est reprochée, à savoir le fait d’héberger ou faire héberger des données de santé sans être titulaire de l’agrément prévu à l’article L.1111-8 du code de la santé publique, le tribunal considère que la société du prestataire informatique n’étant pas l’hébergeur des données médicales, et que les dispositions légales précitées ne sanctionnant pas le fait de faire héberger des données de santé par un hébergeur non agréé, le responsable de cette société doit également être relaxé du chef de cette infraction.

Si surprenante qu’elle paraisse, cette décision est conforme au principe d’interprétation stricte des textes qui régit la procédure pénale. Elle met en lumière l’absence de toute sanction prévue par le législateur en cas d’hébergement de données de santé sans agrément, alors même qu’il a  prévu une procédure d’agrément assez lourde pour pouvoir héberger des données de santé ainsi qu’une procédure de retrait d’agrément en cas de divulgation non autorisée de données de santé à caractère personnel sur support informatique ou de manquements graves de l’hébergeur à ses obligations mettant notamment en cause l’intégrité, la sécurité et la pérennité des données hébergées. L’article 226-13 du code pénal sanctionne, quant à lui, la violation du secret professionnel par les hébergeurs de données de santé ou les personnes placées sous leur autorité et qui ont accès aux données, encore eut-il fallu pouvoir considérer le prestataire informatique comme un « hébergeur de fait », notion qui ne semble pas encore exister dans ce domaine.

Une ordonnance du 12 janvier 2017, qui doit entrer en vigueur au plus tard le 1^er janvier 2019, substitue à l’agrément une procédure de certification. Or notons qu’elle n’a pas d’avantage prévu de sanction pénale en cas d’hébergement de données de santé sans la certification requise (u Ord. n^o 2017-27, 12 janv. 2017 : JO, 13 janv.).