LES FAITS :
Le 11 février 2013, Madame W. fait des recherches sur internet. Par curiosité, elle tape ses nom et prénom sur le moteur de recherche Google. Un résultat s’est affiché, avec ses nom, prénom et l’inscription « dossier enfant » avec son numéro de sécurité sociale (sans la clé). Elle clique sur le résultat et fait apparaître un site « http://www.dbsi.eu/n et d/ consultation dossier enfant.asp », qui comportait un menu déroulant comprenant des noms et prénoms précédés d’un numéro de sécurité sociale. En cliquant sur son nom, elle a donc pu consulter le dossier de naissance de son fils, né en 2008 à Marseille Hôpital Nord. Elle avait accès à des informations telles que l’état du bébé ou encore des commentaires médicaux. Elle s’est par la suite aperçue qu’elle pouvait avoir accès aux autres dossiers qui ressortaient de ce site et qu’il y avait des onglets qui permettaient de modifier ou supprimer des dossiers.
Le 12 février 2013, elle informait l’Hôpital Nord de sa découverte et déposait plainte contre lui du chef de violation du secret professionnel.
Le 13 février 2013, le directeur de l’Hôpital Nord avisait les gendarmes de ce qu’il avait retrouvé le responsable du serveur incriminé, et qu’il lui avait demandé de fermer son site. Les gendarmes constataient alors que le site en question n’était effectivement plus accessible sur les pages internet.
Consulté par les services de gendarmerie, l’Office Central de lutte contre les Atteintes à l’Environnement et à la santé Publique soulignait que le nom du domaine du site « dbsi.eu » avait été acheté par Monsieur Z., gérant de la SARL DBSI ayant pour activité le traitement de données, la réalisation de logiciels et de conseils en systèmes informatiques. Cette société a été radiée le 28 août 2009 et une nouvelle société ANLY6 a été créée par Monsieur Z., poursuivant la même activité, le 20 juillet 2011.
Le 6 mars 2013, Monsieur V., directeur des Affaires Juridiques de l’AP-HM déposait plainte, à la suite de la plainte de Madame W. Il exposait que lorsque la Direction avait été avisée du problème, il avait aussitôt demandé à la Direction Informatique de sécuriser les données ; il a joint le courrier adressé en ce sens à la Société DS ANALY SIX. Il expliquait qu’aux termes d’une enquête diligentée en interne, le Docteur Y. avait été identifiée comme étant la responsable de la mise en place de la base de données, qui lui permettaient à elle et son service de suivre les patients, que le site d’hébergement (DS ANALY6) n’était pas agréé par l’ASIP Santé, que le processus d’identification et d’authentification pour accéder aux données du site n’était pas sécurisé et pouvait être contourné.
L’ENQUETE : 3 personnes ont été entendues par les services de police.
1°/ Madame Y. : Médecin depuis 1992, et praticien hospitalier, responsable de l’Unité fonctionnelle de néonatalogie et du Pôle Réanimation néonatale du Professeur S., à l’Hôpital Nord de Marseille depuis 1996.
Elle a expliqué avoir voulu créer une base de données des informations médicales :
– de mai 2006 à mai 2007, elle a ainsi participé à la création d’un cahier des charges en vue de la création de cette base de données. Les médecins du service devaient remplir un formulaire WORD avec des renseignements médicaux sur les patients (antécédents, grossesses, historique de l’hospitalisation du bébé…).
– de mai 2007 à janvier 2009, des essais de saisies dans le service ont été mis en place pour développer le projet avec l’APHM, tout en travaillant également à la faisabilité du projet dans le cadre de l’appel d’offre publique du réseau « Naître et Devenir ». Le but était de créer un dossier médical et de suivi, une base de données épidémiologiques pour le suivi des bébés prématurés, pour améliorer la collaboration entre les acteurs médicaux par un partage des informations, notamment en cas de transfert vers d’autres hôpitaux, et également évaluer le service de néonatalogie et le réseau de suivi ; ces informations devaient être à l’usage uniquement des professionnels médicaux.
Dans ce contexte, Madame Y. a contacté la société DBSI de Monsieur Z. pour la création du portail de saisie des données et elle a transmis à cette société les données médicales.
– le 13 janvier 2009, le projet obtient un avis favorable de la Commission de l’Innovation de l’AP-HM.
– le 19 février 2009, le projet n’est pas retenu par le réseau « Naître et Devenir ».
Selon elle, la Direction du Service Informatique de l’APHM était parfaitement informée du fait que la société DBSI hébergeait les données médicales, sans que rien ne soit fait pour valider ou non cet hébergeur, ou pour faire héberger ces données directement par l’hôpital. Elle avoue savoir que le traitement informatisé automatisé des données médicales dont elle est à l’origine n’avait pas reçu l’autorisation de la CNIL.
2°/ Monsieur Z : Gérant de la SARL DBSI puis de la société ANLY6, ayant pour activité le traitement de données, la réalisation de logiciels et de conseils en systèmes informatiques.
Dans son audition, M. Z confirmait avoir été contacté par Mme Y en 2008 pour le réseau « Naître et Devenir » dans le cadre d’un projet de constitution d’une base de données « patients » sur les grands prématurés, pour collecter toutes les informations de santé d’avant la naissance jusqu’à l’âge de trois ans, l’idée étant de collectionner le maximum de données afin d’évaluer les risques encourus. Il s’agissait d’un outil informatique et statistique pour réaliser des analyses des données.
Il expliquait qu’après le rejet du projet par le réseau « Naître et Devenir », Mme Y avait maintenu les travaux pour faire un test sur l’Hôpital Nord.
Entre 2009 et 2011, il a donc constitué un logiciel qui comprenait la mise en ligne d’un portail de saisie sur internet, lequel était hébergé chez l’hébergeur Hosteur.com, non agréé pour les données de santé. Ce portail était accessible avec un login et un mot de passe. Il a confirmé à l’audience avoir créé le logiciel et l’avoir mis sur un site provisoirement, pour vérifier son bon fonctionnement, en précisant que lorsque le logiciel est mis sur le site, il ne contient encore aucune donnée.
3°/ Monsieur X. : Directeur du service d’information et de l’Organisation (DSIO) de l’AP-HM au moment des faits. Il contestait la version de Mme Y. Selon lui, Mme Y avait un projet de développement d’un système informatique visant à collecter des données sur des grossesses, mais son service n’y a finalement pas donnée suite, n’ayant ni le temps, ni les ressources nécessaires. Il affirmait que Mme Y a mené seule le projet et qu’elle a géré la demande de développement et d’hébergement à l’insu de son service.
LES POURSUITES PENALES : Le Procureur de la République a fait comparaître Mme Y, M. Z et M. X pour les infractions pénales suivantes :
1°/ Madame Y. : En qualité de professionnel de santé, il lui est reproché d’avoir procédé ou fait procéder à des traitements de données à caractère personnel sans autorisation préalable de la Commission Nationale de l’Informatique et des Libertés (CNIL), en l’espèce en ayant fait traiter des données informatisées de santé concernant des enfants et des femmes hospitalisés dans l’unité de néonatalogie de l’hôpital Nord de l’AP-HM au sein de laquelle elle exerçait en qualité de pédiatre, dans le cadre du développement d’un projet de réseau de santé pour des enfants nés prématurés, sans autorisation préalable de la CNIL.
La date de l’infraction retenue a été fixée entre le 12 février 2010 et le 12 février 2013.
Fondement juridique retenu : article 226-16 du code pénal « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende » (en l’espèce : demande d’autorisation préalable auprès de la CNIL, conformément à l’article 25 de la loi du 6 janvier 1978).
2°/ Monsieur Z. : En sa qualité de gérant de la société DBSI, il est prévenu pour avoir :
– procédé à un traitement automatisé d’informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés, en l’espèce en créant un portail de saisie de données informatisées de santé concernant des enfants et des femmes hospitalisés dans l’unité de néonatalogie de l’hôpital Nord de l’AP-HM dans le cadre d’une prestation relative à un projet de réseau de santé pour des enfants nés prématurés, sans s’assurer de la sécurisation de ce portail,
Fondement juridique retenu : Article 226-17 du code pénal : « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende » (prendre toute précaution pour la sécurisation des données et éviter qu’elles soient déformées, endommagées ou accessibles à des tiers non autorisés).
– hébergé ou fait héberger des données à caractère personnel sans agrément délivré par le ministre chargé de la santé, en l’espèce en choisissant en connaissance de cause un hébergeur rémunéré par lui qui n’était pas agréé et qui n’était pas sécurisé alors qu’il s’agissait de traiter de données informatisées de santé concernant des enfants et des femmes hospitalisés dans l’unité de néonatalogie de l’hôpital Nord de l’AP-HM.
Fondement juridique retenu : Article L. 1115-1 du code de santé publique « La prestation d’hébergement de données de santé à caractère personnel recueillies auprès de professionnels ou d’établissements de santé ou directement auprès des personnes qu’elles concernent sans être titulaire de l’agrément prévu par l’article L. 1111-8 ou de traitement de ces données sans respecter les conditions de l’agrément obtenu est puni de trois ans d’emprisonnement et de 45 000 euros d’amende ».
3°/ Monsieur X. : En qualité de DSIO, il est prévenu d’avoir procédé ou fait procéder à un traitement automatisé d’informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés, en l’espèce en n’ayant pas assuré la protection, la confidentialité et la sécurité des dossiers médicaux informatisés hospitaliers concernant des enfants et des femmes hospitalisés dans l’unité de néonatalogie de l’hôpital Nord de l’AP-HM et en participant à leur externalisation dans le cadre du développement d’un projet de réseau de santé pour des enfants nés prématurés.
La date de l’infraction retenue a été fixée entre le 12 février 2010 et le 12 février 2013.
Fondement juridique retenu : Article 226-17 du code pénal : « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende » (prendre toute précaution pour la sécurisation des données et éviter qu’elles soient déformées, endommagées ou accessibles à des tiers non autorisés).
LE RAISONNEMENT DU JUGE PENAL :
1°/ Madame Y. : Condamnation pour traitement informatisé sans autorisation préalable
Ne contestant pas avoir fait procéder à un traitement informatisé de données médicales sans autorisation de la CNIL, elle est condamnée à une peine d’amende de 5.000 euros.
2°/ Monsieur Z. : Relaxe des deux chefs d’accusation
Le juge pénal n’a pu condamner M. Z. Selon l’article 34 de la loi CNIL, seul le responsable du traitement est tenu à une obligation de précaution pour préserver la sécurité des données. Cependant, l’article 3 de la loi CNIL précise que « Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ». En l’espèce, M. Z. « n’a fait que » créer un logiciel sur la base d’un cahier des charges établi par le D. Y. Il n’est donc pas qualifié de responsable du traitement par le juge pénal qui ne peut donc le condamner.
De la même manière, seul l’hébergeur de données peut se voir condamné pour défaut d’agrément. En revanche, il n’est pas prévu d’infraction pour avoir fait héberger des données par un hébergeur non agréé. M. X. n’est donc pas coupable d’hébergement sans agrément.
3°/ Monsieur X : Relaxe
Faute de preuve permettant de démentir ses affirmations selon quoi son service n’a jamais été informé de la poursuite du projet par le Docteur Y., il doit être considéré comme n’ayant pas connaissance de l’externalisation effective des données médicales et de leur hébergement chez un hébergeur non agréé.
COMMENTAIRE :
La condamnation d’un médecin peut paraître sévère. Cependant, le jugement ne fait que mettre en lumière l’obligation qui pèse sur les établissements de santé et les professionnels en matière de traitement de données de santé. S’il avait été démontré que l’APHM était parfaitement informée du réseau mis en place par le Docteur Y., elle aurait été certainement déclarée responsable du traitement et condamnée à sa place. Cependant ici, c’est l’initiative du médecin, sa création d’un réseau de données selon ses propres volontés (rédaction d’un cahier des charges) et sa parfaite connaissance de l’irrégularité de la procédure faute d’autorisation préalable auprès de la CNIL qui sont sanctionnés. Les deux éléments de l’infraction pénale sont constatés :
– L’élément matériel : Le Docteur Y. a procédé au traitement de données de santé sans autorisation de la CNIL ;
– L’élément intentionnel : Le Docteur Y. savait qu’elle ne disposait pas de l’autorisation mais elle a sciemment continué le traitement des données.
La solution retenue à l’encontre de M. Z. est parfaitement fondée en droit. Très certainement, aucun élément de l’instruction pénale n’a permis de le rattacher à l’hébergement des données. On peut s’en émouvoir lorsqu’on constate que la société créée en 2011 porte le nom de « ANLY6 » et que l’APHM soutient avoir demandé à l’hébergeur, la société « DS ANALY SIX » de cesser l’infraction. M. Z. évoque pourtant lors de son audition avoir fait héberger sur le serveur HOSTER. Faute de disposer du dossier pénal, il ne peut être fait la lumière sur ce point.
On regrettera alors que l’hébergeur n’ait pas été attrait à la procédure et poursuivi pour hébergement sans agrément. Mais l’instruction pénale était seulement dirigée contre Mme Y, M. Z et M. X. Reste à savoir s’il fait l’objet d’une instruction pénale dans le cadre d’une enquête distincte.
