Le nom « traitement » est un terme polysémique. En fonction du secteur dans lequel on se trouve, ce nom n’est pas appréhendé de la même manière. 

 

Traitement au sens du RGPD

 

Le Règlement général sur la protection des données (ci-après « RGPD ») définit un « traitement » à l’article 4 comme : 

 

« [.], toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rappro­chement ou l'interconnexion, la limitation, l'effacement ou la destruction; » 

 

La collecte de données à caractère personnel constitue un traitement au sens de l’article 4 du RGPD. 

 

Traitement au sens médical

 

Dans le milieu médical et paramédical, le terme « traitement » à un sens tout autre. 

 

En effet, selon une définition issue du Larousse Médical, le terme « traitement » peut être défini comme l’« Ensemble des méthodes employées pour lutter contre une maladie et tenter de la guérir. »

 

Un traitement, dans le milieu médical, est donc associé à un acte de santé.

 

Le traitement de données dans le milieu médical

 

Comme tout organisme, les professionnels de la santé doivent également se conformer aux exigences fixées par le RGPD. 

 

Du fait de leurs activités, ils peuvent être amenés à collecter des données, et tout particulièrement des données de santé. 

 

Ces données de santé peuvent être :

 

- « des données de santé par nature : antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap, etc. » ;

 

- « celles, qui du fait de leur croisement avec d’autres données, deviennent des données de santé en ce qu’elles permettent de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne : croisement d’une mesure de poids avec d’autres données (nombre de pas, mesure des apports caloriques, etc.), croisement de la tension avec la mesure de l’effort, etc. » ;

 

- « celles qui deviennent des données de santé en raison de leur destination, c’est-à-dire de l’utilisation qui en est faite au plan médical. » (Communiqué de la Cnil- Qu’est-ce qu’une donnée de santé). 

 

Le RGPD prévoit que les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits.

 

Il peut s’agir, par exemple, des origines raciales d’une personne, de ses opinions politiques ou en l’espèce des données de santé.

 

Les données de santé sont alors considérées comme des données sensibles au sens du RGPD. 

 

Ces données à caractère personnel ne doivent pas faire l'objet d'un traitement, à moins que celui-ci ne soit autorisé dans des cas spécifiques prévus par le présent règlement.

 

Les catégories particulières de données à caractère personnel qui méritent une protection plus élevée ne doivent ainsi être traitées qu'à des fins liées à la santé, lorsque cela est nécessaire pour atteindre ces finalités dans l'intérêt des personnes physiques et de la société dans son ensemble, notamment dans le cadre de la gestion des services et des systèmes de soins de santé ou de protection sociale. 

 

Les professionnels du secteur médical et paramédical, du fait de leur qualité de responsables du traitement et du type de données collectées, doivent ainsi faire preuve d’une vigilance accrue. 

 

Or, le terme « traitement » peut être mal compris par certains professionnels de santé. 

 

En effet, ces professionnels n’appréhendent pas naturellement ce terme au sens de la définition prévue par le RGPD. 

 

Cette ambiguïté pourrait créer une confusion dans le traitement des données personnelles des patients, par exemple, par son médecin.

 

C’est peut-être cette ambiguïté qui a conduit deux médecins libéraux à être sanctionnés au regard des dispositions sur la réglementation des données personnelles. 

 

En effet, la formation restreinte de la Commission nationale de l’Informatique et des libertés (ci-après « Cnil ») a sanctionné deux médecins libéraux pour manquements à des obligations prévues par le RGPD. 

 

Dans deux délibérés, SAN-2020-014 et SAN 2020-015, en date du 7 décembre 2020, la Cnil a ainsi prononcé deux amendes de 3 000 et 6 000 euros à l’encontre des deux médecins libéraux. 

 

Un manquement à l’obligation de sécurité des données 

 

C’est l’article 32 du RGPD qui fixe cette obligation de sécurité du traitement. Les responsables du traitement des données et leurs sous-traitants doivent mettre en place des mesures techniques pour protéger les données personnelles des personnes concernées. 

 

Il peut s’agir du chiffrement des données ou de l’anonymisation des données (il n’est alors, et de manière irréversible, impossible d’identifier la personne concernée). 

 

Il a été constaté que les médecins sanctionnés en l’espèce n’avaient pas suffisamment protégés les données personnelles de leurs patients. 

 

En effet, les données personnelles de plusieurs patients (le nom, prénom, date de naissance, date de réalisation de l’examen, etc.) étaient librement accessibles sur internet, à partir de l’adresse IP des serveurs utilisés par les deux médecins. 

 

Toute personne connaissant cette adresse IP pouvait alors avoir accès aux données des patients.

 

La Cnil a alors estimé que les deux médecins auraient notamment dû prévoir un chiffrement des données à caractère personnel, comme le prévoit l’article 32 a) du RGPD, ainsi que des « mesures techniques appropriés pour garantir la sécurité du traitement ». 

 

L’absence de notification d’une violation de données à la Cnil 

 

Outre le manquement à l’obligation de sécurité des données, la Cnil a constaté que les deux médecins ont manqué à l’obligation de notifier les violations de données survenues. 

 

En effet, suite aux contrôles de la Cnil des 20 et 24 septembre 2019, les deux médecins ont été respectivement avertis par des mails de la Cnil en date du 2 et du 9 octobre 2019 de « l’existence et [de] la nature de l’obligation de notification » (délibérés de la Cnil). 

 

Les deux médecins pensaient alors que les contrôles de la Cnil de septembre les dispensaient de leurs obligations de notification de la violation des données. 

 

Or, la Cnil rappelle que « la circonstance que la violation de données avait été portée à la connaissance de M. [...] par le service des contrôles de la Cnil ne le déchargeait pas de cette obligation. » (délibérés SAN-2020-014 et SAN-2020-015). 

 

L’obligation de notification d’une violation de données est prévue à l’article 33 du RGPD. 

 

Dans un communiqué du 24 mai 2018, la Cnil énonce que deux conditions doivent être réunies pour qu’il y ait violation de données. 

 

Il faut : 

​

• avoir mis en œuvre un traitement de données personnelles, en l’espèce, il s’agit notamment de la collecte de données de santé ;

• et que « ces données [aient] fait l’objet d'une violation (perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite). » 

 

Dans un communiqué du 24 mai 2018, la Cnil rappelle la démarche à suivre en cas de violation de données à caractère personnel : lorsque le responsable du traitement des données constate une violation de données personnelles, il doit en informer la Cnil dans un délai de 72 heures après en avoir pris connaissance. 

 

Si ce délai est dépassé, le responsable devra alors expliquer à la Cnil les motifs de ce retard. 

 

En l’espèce, les données traitées par les deux médecins sanctionnés ont subi une perte de confidentialité puisque les serveurs informatiques d’imagerie des médecins étaient en libres accès. N’importe quelle personne pouvait alors consulter et télécharger les images médicales des patients. 

 

Les médecins auraient dû en avertir la Cnil dans un délai maximum de 72 heures après en avoir pris connaissance, ce qui n’a pas été fait, et cela même si la Cnil a elle-même constaté la faille lors de son contrôle. 

 

Les manquements à la réglementation sur les données personnelles dans le secteur médical

 

• Les différentes dispositions applicables au secteur médical : 

​

-  le considérant 35 et les articles 4 et 84 du RGPD donnent une définition large des données de santé et du régime     applicable. Toutefois, l’ensemble du RGPD est susceptible de s’appliquer au secteur médical ; 

​

- la section 3, Titre II, chapitre III de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux               libertés du titre II intitulé : « Traitements de données à caractère personnel dans le domaine de la santé » (Articles    64 à 77) ainsi que l’article 8 de la même loi fixent le régime applicable lorsque des données sensibles sont traitées ;  les articles 40 et 41 de la loi renvoient aux dispositions pénales applicables  ;

​

- la section V du Livre II, Titre II, chapitre VI du Code pénal (articles 226-16 à 226-24) intitulé « Des atteintes aux             droits de la personne résultant des fichiers ou des traitements informatiques » énumère les sanctions applicables,   ainsi que les articles R625-10 à R625-13  ; 

​

- des dispositions sont également prévues dans le code de santé publique notamment aux articles L.1110-4, L.1111-    8 et L.1460-1 et suivants.

 

• Les sanctions prononcées par la Cnil et ses homologues européens : 

 

La Cnil avait déjà eu à se prononcer sur des manquements aux obligations prévues par la réglementation sur les données personnelles dans le domaine médical : 

 

- dans une délibération du 3 décembre 2020, la DPA suédoise (Datainspektionen) (l’équivalent de la Cnil en suède) a infligé une amende de 4 000 000 SEK (soit 390 100 euros) à l'hôpital universitaire Karolinska de Solna car il n’avait pas mis en œuvre les mesures techniques et organisationnelles adéquates pour garantir la sécurité des données personnelles des patients ; 

 

- dans une délibération du 17 novembre 2020, l’autorité italienne de protection des données a infligé une amende d’un montant de 30 000 euros à l’autorité sanitaire provinciale de Cosenza qui avait publié les données personnelles de personnes qui avaient formulés des demandes de dommages et intérêts auprès de l’autorité ;  

 

- dans une délibération du 26 octobre 2020, l’autorité italienne de protection des données a condamné l’Université Campus Bio-médical de Rome au paiement d’une amende d’un montant de 20 000 euros. En effet, certains patients avaient accès aux données de santé de 74 autres patients ; 

 

- dans une délibération du 19 octobre 2020, l’autorité autrichienne de protection des données a infligé une amende de 600 euros, a un médecin qui avait publié des informations sur des patient sur sa page Facebook personnelle ; 

 

- dans une délibération du 12 mai 2020, la DPA suédoise a infligé une amende d’un montant de 11 200 euros au Conseil de la santé et de la médecine de la région du comté  d'Örebro car il avait divulgué les données personnelles d’une patiente ; 

 

- dans une délibération du 25 février 2020, l’autorité espagnole de protection des données a condamné un hôpital au paiement d’une amende de 48 000 euros. L’hôpital a demandé à une patiente de remplir un formulaire qui contenait une case à cocher indiquant que, si elle ne la cochait pas, elle acceptait le transfert de ses données à des tiers. Or, le RGPD indique que le consentement d’une personne ne peut être déduit par son inactivité ; 

 

- dans une délibération du 23 janvier 2020, l’autorité italienne de protection des données a infligé une amende d’un montant de 30 000 euros à l’hôpital universitaire de Vérone car un stagiaire et un radiologue avait pu accéder aux données de santé de leurs collègues ; 

 

- dans une délibération du 3 décembre 2019, l’autorité de la protection des données en Allemagne a infligé une amende de 105 000 euros à un hôpital car il n’avait pas pris des mesures suffisantes afin d’assurer la sécurité des données des patients ; 

 

- dans une délibération de aout 2019, l’autorité de protection des données autrichienne a infligé une amende de 50 000 euros à une entreprise du secteur médical pour non-respect des obligations d’information ; 

 

- dans une délibération du 20 décembre 2019, The Information Commissioner’s Office (ci-après « ICO ») (l’équivalent de la Cnil au Royaume-Uni) a condamné une pharmacie à une amende de 275 000 livres sterling (environ 306 000 euros) pour manquements à des obligations de sécurité de données de santé ; 

 

- dans une délibération du 18 juin 2019, l’autorité néerlandaise de protection des données a infligé une amende d’un montant de 460 000 euros à un hôpital néerlandais car il n’avait pas mis en œuvre les moyens de sécurité nécessaire pour protéger les données de santé de ses patients ; 

 

- dans une délibération du 8 avril 2019, l’autorité de protection des données Bulgare a infligé une amende de 500 euros à un centre médical pour traitement illicite des données personnelles d’un patient dans le but de lui faire changer de médecin traitant ; 

​

-dans un communiqué du 18 mars 2019, l’ICO a infligé deux amendes à deux employés (d’un montant de 1000 et 200 livres sterling) (environ 1 111 euros et 222 euros) d’une organisation gérant des hôpitaux en Angleterre, pour avoir accédé sans justification à des dossiers médicaux. Les deux employés ont également été condamné à payer une sur-amende compensatoires pour les victimes ainsi que pour les frais de poursuite ; 

 

- dans une délibération de 2019, le commissaire à la protection des données de Chypre a infligé une amende de 5 000 euros à un hôpital qui n’avait pas pu satisfaire à une demande d’accès à un dossier ; 

 

- dans une délibération de 2019, le commissaire à la protection des données de Chypre a infligé une amende de 14 000 euros à un médecin  qui a publié des données sensibles de l’une de ses patientes sur Instagram ;

 

- dans un communiqué du 29 novembre 2018, l’ICO a condamné une ancienne secrétaire stagiaire d’un cabinet médical au paiement d’une amende de 350 livres sterling (environ 390 euros) (ainsi qu’au paiement d’une sur-amende pour les victimes et d’une amende pour les frais de poursuite) pour avoir lu les dossiers de 231 patients sans autorisation ; 

 

- dans une délibération du 11 octobre 2018, la Comissão Nacional de Proteção de Dados  (l’équivalent de la Cnil au Portugal) a condamné un hôpital à 400 000 euros pour violation des principes d’intégrité et de confidentialité des données, violation du principe de limitation d’accès aux données et incapacité du responsable de traitement des données à garantir l’intégrité desdites données. Par ailleurs, il s’agit de la première sanction financière prononcée au regard du RGPD ;

 

- dans un communiqué du 25 septembre 2018, l’ICO a condamné une infirmière à une amende de 400 livres sterling (environ 445 euros) (ainsi qu’au paiement d’une sur-amende pour les victimes et pour les frais de poursuite) pour avoir accédé aux dossiers de patients sans motif professionnel ; 

 

- dans une décision MED-2018-034 du 25 septembre 2018 , la Cnil a mis en demeure une société de mutuelle afin qu’elle cesse de traiter les données personnelles de ces adhérents à des fins de prospection commerciale sans le consentement des personnes concernées et de justifier auprès de la Cnil que ce traitement a cessé. La société de mutuelle avait utilisé à des fins de prospection commerciale des données personnelles collectées dans l’unique but de verser les allocations de retraite complémentaire ;

 

- dans une délibération SAN-2017-008 du 18 mai 2017, la Cnil a sanctionné d’une amende d’un montant de 10 000 euros un cabinet dentaire pour non-respect du droit d’accès à un dossier médical d’un patient ainsi que pour un défaut de réponse aux demandes de la Cnil ; 

 

- dans une décision 2013-037 du 25 septembre 2013, la Cnil a mis en demeure un établissement public de santé de mettre en œuvre les mesures de sécurité nécessaires afin de garantir la confidentialité des dossiers médicaux des patients et de justifier auprès de la Cnil que les mesures nécessaires ont bien été mis en œuvre. Il a été constaté que l’établissement public de santé avait manqué à l’obligation de veiller à la sécurité et à la confidentialité des données de ses patients. 

 

• Une sanction prononcée par une juridiction pénale : 

 

- dans un jugement du 7 juin 2017, le tribunal correctionnel de Marseille a condamné un médecin qui avait traité les données de santé d’une patiente sans autorisation préalable de la Cnil. Le tribunal a estimé que le médecin avait commis un manquement à l’article 226-17 du Code pénal qui prévoit que tout responsable de traitement doit mettre en œuvre les mesures prescrites à l’article 34 de la Loi informatique et libertés (dans sa rédaction antérieure). En effet, avant l’entrée en application du RGPD, certains traitements de données de santé à caractère personnel, visés à l’article 25 de la loi Informatique et libertés (L. 78-17) dans sa rédaction à cette date, étaient soumis à autorisation de la Cnil. 

Le praticien a été condamné à une amende de  pour ce traitement de données à caractère personnel sans autorisation de la Cnil.

 

Référentiels de la Cnil

 

Afin d’accompagner aux mieux les professionnels de santé, la Cnil a publié trois référentiels pour le secteur de la santé : 

 

• Référentiel relatif aux traitements de données à caractère personnel destinés à la gestion des cabinets médicaux et paramédicaux

• Référentiel des durées de conservation dans le domaine de la santé hors recherche

• Référentiel des durées de conservation dans le domaine de la recherche en santé

 

Un guide pratique sur la protection des données personnelles élaboré en collaboration par le Conseil National de l’Ordre des médecins et la Cnil a également été publié :

 https://www.cnil.fr/sites/default/files/atoms/files/guide-cnom-cnil.pdf