C’est une nouvelle fois alertée par la presse, que la CNIL a décidé de procéder à une mission de contrôle sur place d’une organisation. Cette fois, l’autorité de contrôle s’est rendue au centre hospitalier de Saint-Malo afin de vérifier la conformité des traitements de données à caractère personnel relatifs au codage des actes médicaux et faisant l’objet d’une externalisation depuis 2007 auprès d’un prestataire spécialisé.

Les données de santé sont par nature des données sensibles et leur confidentialité protégée à la fois par le secret médical et par les règles de protection des données personnelles.

En vertu de l’article L1110-4 du Code de la santé publique : « Toute personne prise en charge par un professionnel, un établissement, un réseau de santé ou tout autre organisme participant à la prévention et aux soins a droit au respect de sa vie privée et du secret des informations la concernant ».

Il incombe donc aux établissements de santé de prendre toutes les précautions nécessaires afin d’empêcher tout tiers non autorisé à y avoir accès. Cette obligation de sécurité est posée par l’article 34 de la loi informatique et libertés du 6 janvier 1978 modifiée.

Le fait de ne pas satisfaire à cette obligation expose les contrevenants à des contrôles de la CNIL. Cette dernière commence dans la plupart des cas par une mise en demeure, parfois rendue publique lorsque le cas est jugé suffisamment grave en fonction notamment de la nature des données et du nombre de personnes concernées ; si l’organisation contrôlée ne se met pas en conformité, la CNIL prononce généralement une sanction à l’occasion d’un nouveau contrôle.

Défaut de sécurité et de confidentialité des données, atteinte à la vie privée des patients :

En l’espèce, les agents de la CNIL ont découvert que le prestataire bénéficiait d’un compte applicatif avec des habilitations en écriture, identiques à celle du médecin DIM (médecin responsable du département d’information médicale).

En outre des informations médicales de 950 patients ont été rendues accessibles au prestataire mandaté par l’hôpital, en dehors de la présence continue et constante du médecin DIM, pour procéder à l’analyse de l’activité et au codage de la prise en charge des malades prévus par l’article L6113-7 du Code de la santé publique.

L’article R. 6113-5 du Code de la santé publique dispose que « Les médecins chargés de la collecte des données médicales nominatives ou du traitement des fichiers comportant de telles données sont soumis à l’obligation de secret (...) Il en est de même des personnels placés ou détachés auprès de ces médecins et qui travaillent à l’exploitation de données nominatives sous leur autorité, ainsi que des personnels intervenant sur le matériel et les logiciels utilisés pour le recueil et le traitement des données ».

La CNIL a constaté que le prestataire, bien que soumis à une clause de confidentialité, n’était pas placé sous l’autorité du médecin DIM. Il ne pouvait donc être autorisé à accéder à des données couvertes par le secret médical.

Ces faits constituent un manquement à l’article 34 de la loi Informatique et Libertés en vertu duquel « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher (...) que des tiers non autorisés y aient accès ». Ce manquement est passible d’une amende de 1 500 000 euros (article 226-17-1 et 131-38 du Code pénal).

Enfin, l’établissement de Saint-Malo, conformément à l’article 35 de la loi du 06/01/1978 avait l’obligation de s’assurer que son sous-traitant « présente des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité » des traitements de données personnelles. Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de sécurité et de confidentialité des données.

Cette exigence ne décharge cependant pas le responsable du traitement de son obligation de veiller au respect de ces mesures par le sous-traitant, qui lui « ne peut agir que sur instruction du responsable du traitement ».
Notons à ce sujet que le projet européen de réforme de la protection des données personnelles attendu pour mars 2014 prévoit de nouvelles obligations de sécurité pour le sous-traitant et une possible co-responsabilité de celui-ci.

La CNIL précise que par ces manquements, le centre hospitalier de Saint-Malo a porté une atteinte grave à la vie privée d’un nombre important de malades et a violé les disposition de l’article 1er de la loi informatique et libertés, selon lequel « L’informatique (...) ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

Et après ?

La CNIL a prévu de diligenter plusieurs contrôles au sein d’autres établissements de santé.
Au mois de mars dernier, la presse avait en effet révélé que les données de santé de patients ayant été suivis dans certains établissements étaient consultables sur internet, via le moteur de recherche Google, et ce par la simple saisie du nom des personnes concernées.

A la suite de la publicité de cette mise en demeure, la Fédération Hospitalière de France (FHF) a immédiatement réagi et écrit à la CNIL afin de lui proposer la réunion d’un groupe de travail avec les organismes et fédérations concernés pour clarifier les obligations des établissements de santé en matière de protection des données de santé à caractère personnel.

RIM FERHAH Juriste CIL CONSULTING www.protection-des-donnees.com