En matière de traitement de données de santé, la fin ne justifie pas les moyens

​Le TGI de Marseille a récemment condamné un médecin en charge d’un projet visant à traiter les données de certains patients au sein d’un établissement de santé pour manquement aux dispositions de la Loi Informatique et Libertés (TGI Marseille, 6e ch. Corr., 07 juin 2017).

Ce jugement met en lumière la nécessité de prévoir un environnement sécurisé en cas d’externalisation des données de santé. Pour quelle vertueuse que soit la finalité poursuivie, le traitement des données de santé ne peut se faire indépendamment du respect des dispositions de la Loi Informatique et Libertés, ainsi que des dispositions du Code de la santé publique - qui viendront être prochainement précisées avec le décret relatif à la procédure de certification des hébergeurs de données de santé.

La décision du TGI de Marseille

Faits et procédure

Cette décision a pour origine une défaillance de sécurisation d’un portail mis en place par un établissement hospitalier dans le cadre du développement d’un projet de réseau de santé.

Le but de ce projet était de créer une base de données épidémiologique pour le suivi de bébés prématurés, et de permettre le partage d’informations entre différents acteurs de santé, en particulier en cas de transfert de la mère et de son enfant dans un autre établissement de santé.

L’action à l’origine de cette décision avait été initiée par une patiente dont le nom et le prénom, ainsi que le numéro de sécurité sociale s’était affiché sur son navigateur internet à la suite d’une recherche sur un moteur de recherche.

L’un des résultats était un lien hypertexte conduisant au portail mis en place par l’établissement de santé. Ce portail contenait un dossier comprenant, entre autres, des informations relatives à la naissance de son fils, ainsi que des commentaires d’ordre médical.

La plaignante avait donc porté plainte pour violation du secret professionnel. L’établissement de santé averti de cette procédure a également porté plainte.

Etaient poursuivis dans le cadre de cette action le Directeur des Systèmes d’Information et de l’Organisation (« DSIO »), le médecin pédiatre à l’origine du projet, ainsi que le gérant de la société qui avait mis en place ledit portail informatique.

Les chefs de poursuites étaient notamment les suivants :

  • mise en place d’un traitement de données sans accomplissement des formalités adéquates au titre de la loi Informatique et Libertés (article 226-16 et 226-17 du Code pénal)
  • absence de prise des précautions utiles à assurer la sécurité des données (article 34 de la Loi Informatique et Libertés)
  • absence de recours à un hébergeur de données de santé agréé (article L.1111-8 et L.1115-1 du Code de la santé publique)
Le jugement

Le Tribunal de Marseille a jugé que le médecin pédiatre en charge du projet à l’origine de la base épidémiologique devait être déclarée coupable de mise en œuvre d’un traitement des données personnelles sans accomplissement des formalités préalables exigées par la Loi Informatique et Libertés.

Le médecin avait reconnu à l’audience avoir poursuivi le projet de base épidémiologique alors que le traitement n’avait pas obtenu l’autorisation de la part de la Commission Nationale de l’Informatique et des Libertés (« CNIL »).

Une amende de cinq mille euros a été prononcée à son encontre.

En revanche, le gérant de la société ayant conçu le portail a été relaxé, le Tribunal ayant considéré que cette société n’avait pas la qualité de responsable de traitement, et ne pouvait être poursuivi sur le chef de la violation de l’article 34 de la Loi Informatique et Libertés.

Quant à la violation de l’article L.1111-8 du Code de la santé publique, le juge marseillais a retenu son inapplication aux motifs que la société en question n’était pas en charge de l’hébergement des données de santé.

Le Tribunal de Marseille emploie une formulation malheureuse en indiquant que les dispositions du Code de la santé publique en matière d’hébergement de santé « ne sanctionnent en aucun cas le fait d’avoir fait héberger des données de santé par un hébergeur non agréé ».

Or, l’article L.1111-15 du Code de la santé publique dans sa version applicable à l’époque sanctionnait bien le fait d’organiser l’hébergement de données de santé sans être titulaire de l’agrément à cette fin :

« La prestation d'hébergement de données de santé à caractère personnel recueillies auprès de professionnels ou d'établissements de santé ou directement auprès des personnes qu'elles concernent sans être titulaire de l'agrément prévu par l'article L. 1111-8 ou de traitement de ces données sans respecter les conditions de l'agrément obtenu est puni de trois ans d'emprisonnement et de €45 000 d'amende. »

Ce texte a été précisé depuis par l’ordonnance du 12 janvier 2017 sur l’hébergement des données de santé:

« La prestation d'hébergement de données de santé à caractère personnel recueillies auprès de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou directement auprès des personnes qu'elles concernent sans être titulaire de l'agrément prévu par l'article L. 1111-8 ou de traitement de ces données sans respecter les conditions de l'agrément obtenu est puni de trois ans d'emprisonnement et de €45 000 d'amende »

Quant au responsable DSIO, ce dernier a été relaxé au motifs que les documents versés à la procédure n’apportaient pas la preuve qu’il avait été effectivement informé de l’externalisation des données de santé, et de leur hébergement chez un hébergeur non agréé.

Cette décision rappelle la nécessité de prévoir un environnement adapté en cas d’externalisation du stockage de données de santé - cadre qui est amené à évoluer prochainement avec l’évolution des conditions d’agrément des hébergeurs de données de santé.

Le projet de décret sur l’hébergement des données de santé

L’ordonnance du 12 janvier 2017 sur l’hébergement des données de santé a introduit le principe selon lequel les hébergeurs de données de santé devront être soumis à une procédure de certification de conformité par un organisme certificateur agréé par le Comité français d’accréditation (« Cofrac ») en France, ou par un organisme équivalent de l’Union européenne. Cette procédure viendra en remplacement de l’agrément délivré par le ministère de la santé, après avis de la CNIL et du Comité d’agrément des hébergeurs placé près de l’ASIP.

Le projet de décret relativement à l’hébergement de données de santé apporte des précisions sur le champ de l’hébergement de données de santé.

Le projet d’article R.1111-8-8 précise que les dispositions en matière d’hébergement de données de santé s’appliquent dans le cas où l’activité d’hébergement des données est faite :

  • pour le compte des responsables de traitements (personnes physiques ou morales) à l’origine de la production des données de santé (par exemple, les professionnels et les établissements de santé)
  • pour le compte du patient lui-même.

Le projet d’article R.1111-8-8 du Code de la santé publique apporte une précision supplémentaire en indiquant « ne constitue pas une activité d’hébergement au sens de l’article L.1111-8, un hébergement temporaire de données n’ayant pas pour finalité d’organiser leur accès ou leur transmission au profit du responsable de traitement, du patient ou de tout professionnel participant à la prise en charge de la personne concernée par les données ».

L’hébergement doit donc être constitué à des fins pérennes, et les prestataires qui n’ont un rôle que temporaire dans le traitement des données de santé ne seraient pas, en l’état de la rédaction de ce texte, soumis aux exigences en termes d’hébergement de données de santé.

Le projet d’article R.1111-9 du Code de la santé publique précise également un certain nombre d’activités qui rentrent dans le champ de l’hébergement de données de santé à savoir :

  • « 1° La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ;
  • « 2° La mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ;
  • « 3° La mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé ;
  • « 4° La mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information ;
  • « 5° L’administration et l’exploitation du système d’information contenant les données de santé;
  • « 6° La sauvegarde des données de santé. »

Ce nouvel article intègre donc les prestations de salle blanche ou d’hébergement sec - pour laquelle l’ASIP avait déjà pris position dans sa FAQ en faveur de leur intégration dans le champ des dispositions relatives à l’hébergement de données de santé.

En toute hypothèse, le responsable de traitement qui choisira de recourir à un hébergeur des données de santé sera tenu de s’assurer que ce dernier soit détenteur du certificat de conformité délivré à cette fin (Article R.1111-8-8.II du Code de la santé publique).

La prestation d’hébergement entre l’hébergeur et la personne en charge de la production des données de santé, ou le patient, devra faire l’objet d’une formalisation par contrat dont les clauses qui doivent être prévues à minima sont précisées dans le projet d’article R.1111-11 (jusqu’à présent prévues à l’article R.1111-13) du Code de la santé publique. Cet article intègre désormais une information sur les mises en œuvre pour garantir le respect des droits des personnes concernées par les données de santé, ainsi que l’engagement de l’hébergeur de détruire les données de santé, sans en garder copie en fin de prestation.

A noter que l’obligation de répondre aux demandes d’accès au dossier médical effectuées en vertu de l’article L.1111-7 du code de santé publique pèsera exclusivement sur le professionnel de santé ou l’établissement de santé concerné - l’hébergeur ayant été supprimé de la liste des interlocuteurs possibles pour l’exercice de ces droits à l’article 1er du projet de décret.

La date d’entrée en vigueur des dispositions de l’ordonnance du 12 janvier 2017 est prévue, dans le projet de texte, pour le 1er janvier 2018. Le texte a fait l’objet d’une notification à la Commission européenne, en application de la procédure 2015/1535 - la Commission devrait rendre ses observations ou avis éventuel à l’issue de la période de statu quo expirant le 23 octobre 2017.

Ce document (ainsi que toutes les informations accessibles via les liens présents dans ce document) est fourni uniquement à titre informatif et ne constitue en aucun cas un conseil juridique. Des conseils juridiques professionnels sont nécessaires avant une quelque action résultant du contenu de ce document.