La Blockchain en matière de santé

La Blockchain (BC) offre la possibilité de stocker, décentraliser, anonymiser et rendre des données en principe infalsifiables.

Il s’agit d’une technologie sécurisée de référencement de données. Cette technologie allie un logiciel « open source » et une interface graphique, permettant :

– un chiffrage et un horodatage des données référencées,

– une immutabilité de ces données,

– une inviolabilité de ces données.

La donnée n’est pas directement stockée sur la BC mais une ligne correspondant à cette donnée va être inscrite sur la BC. Ainsi, seul le lien vers l’information est stocké mais pas l’information elle-même. On peut donc comparer la BC à une sorte de registre des références d’une bibliothèque, contenant des informations chiffrées, horodatées, immuables et inviolables. C’est cette logique de décentralisation qui garantit la force de la BC (l’information stockée se retrouve à plusieurs endroits différents), contrairement à un support de type Cloud qui, restant centralisé, est alors intrinsèquement beaucoup plus vulnérable. En effet, plus la chaîne s’étend, plus elle contient de maillons qu’il faudrait alors, pour pénétrer la BC, briser et remplacer auprès de chaque acteur ayant accès à ces maillons.

 

I- Les objectifs de la Blockchain en matière de santé

En matière de santé, la BC ne sert a priori pas tellement pour des échanges potentiels d’actifs (cryptomonnaies telles que les bitcoins) mais elle peut remplir trois fonctions importantes :

  • Authentifier une information sensible à un instant T.

On parle d’information « sensible » en ce sens qu’elle serait susceptible de faire l’objet d’un litige (une prescription, un consentement, une preuve que le patient a été informé, un suivi de vaccinations…). C’est parce que la donnée est sensible qu’il est important de pouvoir l’authentifier.

Toujours dans une optique d’authentification, la BC permettrait de sécuriser de manière infalsifiable le parcours du médicament, de sa fabrication jusqu’à l’armoire à pharmacie du patient. Une telle initiative, si elle n’est pas forcément pertinente en Europe, où de multiples codes existent déjà pour authentifier et suivre un produit pharmaceutique, serait en revanche extrêmement utile sur le continent africain qui doit gérer une problématique très importante de contrefaçon.

  • Faciliter l’échange d’informations dans un climat de sécurité.

Cet objectif importe, par exemple, au sein d’un réseau de professionnels de santé, tel une clinique, qui nécessite que chaque professionnel puisse, en interne, communiquer en garantissant la fiabilité et la sécurité des informations échangées.

Cet objectif importe également dans d’autres types de réseaux, tels que ceux liés à la recherche clinique. Par exemple, « MyHealthMyData » vise à faciliter l’accès, la mise à disposition et le partage de données de santé dans le cadre d’essais cliniques, dont les tâches administratives occupent actuellement la majorité du temps des chercheurs.

  • Automatiser un processus contractuel sensible par le déclenchement d’une étape N+1 selon la réalisation de l’étape N.

Il s’agit des « smart contracts » qui prévoient que si telle ou telle condition est remplie, alors cela aura telle ou telle conséquence.

Par exemple, l’envoi d’une feuille de soins à l’Assurance Maladie va engendrer son remboursement automatique. Autre exemple, si les critères de l’assuré, définis au préalable par le smart contrat, sont conformes, alors nul besoin de vérifier le dossier de l’assuré : le smart contrat analyse les données et déclenche le remboursement automatique l’assuré.

Outre les remboursements, cet instrument peut également être utilisé pour les paiements ou pour l’obtention d’une certification ou d’une autorisation. Notamment, si la preuve du consentement du patient peut être apportée à tel moment de manière incontestable, l’acceptation sera alors considérée comme acquise à la participation à l’essai clinique.

II- Avantages/Inconvénients de la Blockchain en matière de santé

La BC est évidemment une grande avancée technologique, et même juridique si l’on s’en réfère aux exigences de l’article 1366 du Code civil d’après lequel, au final, une copie numérique ne saurait avoir la même valeur que l’original si elle ne remplit pas certaines conditions de fiabilité précisément définies par les textes (la personne dont l’acte émane doit pouvoir être dûment identifiée, et l’acte doit être établi et conservé dans des conditions de nature à en garantir l’intégrité ; sur cet aspects, voir https://kos-avocats.fr/la-valeur-des-dossiers-medicaux-numerises/).

Mais la BC n’est pas dépourvue de critiques qui peuvent déjà être posées et de limites déjà identifiables…

D’abord, l’autonomisation des smart contracts peut nuire à la réalité de la relation contractuelle. Précisément, elle fait preuve d’un manque de souplesse et d’une déconnexion avec la réalité de la pratique contractuelle dans le domaine de la santé, qui doit être empreinte de mesure, de finesse et donc d’adaptation, notion peu compatible avec celle d’automatisation.

En outre, une question éthique et juridique se pose : comment concilier les droits des personnes à disposer de leurs données, dont le « droit à l’oubli » consacré par le RGPD, avec la BC dont l’intérêt réside justement dans l’immuabilité ? « MyHealthMyData » propose de contourner cet obstacle de la façon suivante : si une personne souhaite effacer définitivement ses données de la chaîne, les liens vers les informations le concernant pourront être rompus. Mais cela ne brise pas pour autant la chaîne dans son ensemble. Les maillons restent en place bien qu’amorphes. Néanmoins, cette limite pourrait tomber si l’on donne au patient le pouvoir sur la maîtrise de ses données à l’aide d’une clé privée. Cependant, il faudra alors établir une solution en cas d’incapacité du patient à donner accès à son dossier médical.

Par ailleurs, penser que la BC permettra aux données médicales d’être plus sécurisées relève probablement de l’utopie. En effet, les acteurs qui détiennent actuellement nos données ont des systèmes et logiciels qui ne sont pas inviolables, loin de là…. Or, il est probable que ce seront toujours par la suite ces mêmes systèmes de stockage qui alimenteront les éventuelles BC.

Enfin, comment se doter d’un système commun à l’international lorsque les réglementations nationales sont si différentes? Par exemple, aux Etats-Unis, la règlementation autorise le consentement numérique pour les essais cliniques, alors qu’en France, le patient doit toujours donner un accord écrit. Le droit n’est aujourd’hui pas adapté au développement de la BC en matière de santé.

CONCLUSION :

Qu’on lui attribue des vertus ou des inconvénients, la BC n’est pas près de connaître un essor immédiat, ne serait-ce parce qu’il n’existe pas aujourd’hui d’interopérabilité suffisante, voire pas d’interopérabilité du tout, entre les différents systèmes informatiques en matière de santé (celui de l’assurance maladie, celui de chaque hôpital, celui du Dossier médical partagé).

 

Amélie BEAUX

Traitement des données personnelles en psychiatrie : Un nouveau décret en précise les conditions

 

 

HOPSYWEB est un logiciel de gestion qui assure, dans chaque département, le traitement automatisé des mesures d’hospitalisation sans consentement des personnes souffrant de troubles mentaux. Il a été créé par arrêté ministériel du 19 avril 1994 sur la base d’un avis de la CNIL du 29 mars 1994 et étendu à l’ensemble des DDASS par une circulaire de 2006.

Selon une instruction du 11 février 2011, HOPSYWEB a pour objet d’homogénéiser et sécuriser les pratiques afin de limiter le risque d’erreur dans la gestion des hospitalisations sans consentement, notamment les hospitalisations d’office, et d’éviter les condamnations de l’État en matière contentieuse.

Un décret du 23 mai 2018 étend la mise en œuvre par les agences régionales de santé de traitements de données à caractère personnel contenues dans HOPSYWEB, ayant pour finalité le suivi des personnes faisant l’objet de soins psychiatriques sans consentement.

Comme auparavant, cette application informatique permet, dans chaque département, la tenue d’un échéancier des certificats médicaux et des arrêtés préfectoraux, la gestion des sorties d’essai et des sorties définitives, la production automatisée des arrêtés préfectoraux et des courriers d’information au procureur, au maire et à la famille. Son champ est donc aujourd’hui étendu.

 

Objet : Il permet maintenant :

  • La tenue d’un échéancier de la saisine du juge des libertés et de la détention, au titre de la procédure de contrôle des mesures de soins psychiatriques sans consentement sous la forme d’une hospitalisation complète ;
  • La production des projets d’actes et de documents prescrits par les dispositions du titre Ier du livre II de la troisième partie du code de la santé publique ;
  • La production des courriers aux personnels habilités à accéder aux données pour la réalisation de statistiques ;
  • La tenue du secrétariat des commissions départementales des soins psychiatriques ;
  • Une consultation nationale des données collectées dans chaque département :
  • Par les services centraux du ministre chargé de la santé aux fins de statistiques relatives à la mise en œuvre des modalités de soins psychiatriques ;
  • Par les agences régionales de santé saisies par le représentant de l’Etat dans le département afin de répondre aux demandes d’information formulées en application de l’article R. 312-8 du code de la sécurité intérieure (certificat médical en cas de demande d’armes à feu) ;
  • Une exploitation statistique des données collectées au niveau départemental à destination de la commission départementale des soins psychiatriques en vue de l’élaboration de son rapport d’activité.

 

 

Contenu : Les catégories de données pouvant faire l’objet de traitements sont les suivantes :

  • Les données d’identification de la personne en soins psychiatriques sans consentement (nom, prénoms, domicile, sexe, date et lieu de naissance) ;
  • Les données d’identification des médecins, auteurs des certificats médicaux ou des rapports d’expertise (nom, prénoms, adresse, courriel et numéro de téléphone) ;
  • Le cas échéant, les données transmises par les autorités judiciaires concernant les personnes ayant fait l’objet d’un classement sans suite ou d’une décision d’irresponsabilité pénale pour des faits punis d’au moins cinq ans d’emprisonnement en cas d’atteinte aux personnes ou d’au moins dix ans d’emprisonnement en cas d’atteinte aux biens ;
  • Les informations sur la situation administrative ou juridique des personnes en soins psychiatriques sans consentement : adresse de l’établissement de santé d’accueil, nom, prénoms, numéro de téléphone, courriel de la personne référente dans cet établissement, existence d’une mesure de protection juridique, date des certificats médicaux, date des expertises le cas échéant, date des arrêtés du représentant de l’Etat dans le département, date des sorties de courte durée, arrêté de passage en programme de soins et levée de la mesure, date de saisine du juge des libertés et de la détention, date d’audience et date des décisions ou arrêts des juridictions ;
  • Les adresses électroniques des professionnels autorisés à réaliser des statistiques ;
  • Les données d’identification des avocats représentant la personne en soins psychiatriques sans consentement (nom, prénoms, raison sociale, adresse, et numéro de téléphone) ;
  • Les données d’identification de la personne chargée de la protection juridique de la personne en soins psychiatrique sans consentement (nom, prénoms, adresse, courriel et numéro de téléphone).

 

Personnes autorisées à accéder aux données : Outre les personnels assurant la prise en charge du patient dans le cadre du parcours de soins, le décret distingue les personnes habilitées à accéder aux données en fonction des missions poursuivies.

Ainsi, le directeur général de l’ARS désigne les personnels de son agence habilités à enregistrer et accéder aux données et informations susvisées aux fins de suivi des personnes en soins psychiatriques sans consentement.

Il convient de souligner que la mise en œuvre des traitements par le directeur général de l’agence régionale de santé, dans les buts susvisés (cf § Objet), est subordonnée à l’envoi préalable à la CNIL d’un engagement de conformité faisant référence au décret du 23 mai 2018.

En outre, le ministre chargé de la santé désigne les personnels habilités à accéder aux données dans le cadre de leur pouvoir de consultation.

 

Personnes destinataires des données : Sont destinataires des seules données et informations du traitement de données « HOPSYWEB » nécessaires à l’exercice de leurs attributions :

  • Le représentant de l’Etat dans le département et à Paris, le préfet de police ou les agents placés sous leur autorité qu’ils désignent à cette fin ;
  • Le juge des libertés et de la détention territorialement compétent ;
  • Les fonctionnaires du greffe du tribunal de grande instance chargés des procédures de soins sans consentement ;
  • Le procureur de la République près le tribunal de grande instance dans le ressort duquel est situé l’établissement d’accueil ;
  • Le procureur de la République près le tribunal de grande instance dans le ressort duquel se trouve la résidence habituelle ou le lieu de séjour de la personne en soins psychiatriques sans consentement ;
  • Le premier président de la cour d’appel ou son délégué en cas d’appel de l’ordonnance du juge des libertés et de la détention ;
  • Le procureur général près la cour d’appel en cas d’appel de l’ordonnance du juge des libertés et de la détention ;
  • Les fonctionnaires du greffe de la cour d’appel chargés des procédures de soins sans consentement en cas d’appel de l’ordonnance du juge des libertés et de la détention ;
  • Le directeur de l’établissement d’accueil ou l’agent placé sous son autorité qu’il désigne à cette fin ;
  • Le directeur de l’établissement pénitentiaire lorsque la personne admise en soins psychiatriques sans consentement était détenue ou l’agent placé sous son autorité qu’il désigne à cette fin ;
  • L’avocat de la personne faisant l’objet des soins sans consentement, pour ce qui concerne exclusivement des données et informations concernant son client ;
  • Les membres de la commission départementale des soins psychiatriques ;
  • Le maire, ou à Paris le commissaire de police, auteur d’un arrêté prenant les mesures provisoires en vue d’une admission en soins psychiatriques sur décision du représentant de l’Etat, ou les agents placés sous leur autorité qu’ils désignent à cette fin, en cas de danger imminent pour la sûreté des personnes (CSP, art. L. 3213-2).

 

Conservation : Les données et informations sont conservées pendant trois ans à compter de la fin de l’année civile suivant la levée de la mesure de soins sans consentement.

 

Droits du patient : Le patient dispose d’un droit d’accès et de rectification des données, dans les conditions posées par les articles 39 et 40 de la loi CNIL. En revanche, le droit d’opposition prévu par l’article 38 de la loi CNIL n’est pas applicable en l’espèce.

 

Source : Décret n° 2018-383 du 23 mai 2018 autorisant les traitements de données à caractère personnel relatifs au suivi des personnes en soins psychiatriques sans consentement

Condamnation d’un médecin pour traitement informatisé de données personnelles sans autorisation préalable

Commentaire du jugement du 7 juin 2017 de la 6ème chambre correctionnelle du TGI de Marseille

LES FAITS :

Le 11 février 2013, Madame W. fait des recherches sur internet. Par curiosité, elle tape ses nom et prénom sur le moteur de recherche Google. Un résultat s’est affiché, avec ses nom, prénom et l’inscription « dossier enfant » avec son numéro de sécurité sociale (sans la clé). Elle clique sur le résultat et fait apparaître un site « http://www.dbsi.eu/n et d/ consultation dossier enfant.asp », qui comportait un menu déroulant comprenant des noms et prénoms précédés d’un numéro de sécurité sociale. En cliquant sur son nom, elle a donc pu consulter le dossier de naissance de son fils, né en 2008 à Marseille Hôpital Nord. Elle avait accès à des informations telles que l’état du bébé ou encore des commentaires médicaux. Elle s’est par la suite aperçue qu’elle pouvait avoir accès aux autres dossiers qui ressortaient de ce site et qu’il y avait des onglets qui permettaient de modifier ou supprimer des dossiers.

Le 12 février 2013, elle informait l’Hôpital Nord de sa découverte et déposait plainte contre lui du chef de violation du secret professionnel.

Le 13 février 2013, le directeur de l’Hôpital Nord avisait les gendarmes de ce qu’il avait retrouvé le responsable du serveur incriminé, et qu’il lui avait demandé de fermer son site. Les gendarmes constataient alors que le site en question n’était effectivement plus accessible sur les pages internet.

Consulté par les services de gendarmerie, l’Office Central de lutte contre les Atteintes à l’Environnement et à la santé Publique soulignait que le nom du domaine du site « dbsi.eu » avait été acheté par Monsieur Z., gérant de la SARL DBSI ayant pour activité le traitement de données, la réalisation de logiciels et de conseils en systèmes informatiques. Cette société a été radiée le 28 août 2009 et une nouvelle société ANLY6 a été créée par Monsieur Z., poursuivant la même activité, le 20 juillet 2011.

Le 6 mars 2013, Monsieur V., directeur des Affaires Juridiques de l’AP-HM déposait plainte, à la suite de la plainte de Madame W. Il exposait que lorsque la Direction avait été avisée du problème, il avait aussitôt demandé à la Direction Informatique de sécuriser les données ; il a joint le courrier adressé en ce sens à la Société DS ANALY SIX. Il expliquait qu’aux termes d’une enquête diligentée en interne, le Docteur Y. avait été identifiée comme étant la responsable de la mise en place de la base de données, qui lui permettaient à elle et son service de suivre les patients, que le site d’hébergement (DS ANALY6) n’était pas agréé par l’ASIP Santé, que le processus d’identification et d’authentification pour accéder aux données du site n’était pas sécurisé et pouvait être contourné.

L’ENQUETE : 3 personnes ont été entendues par les services de police.

1°/ Madame Y. : Médecin depuis 1992, et praticien hospitalier, responsable de l’Unité fonctionnelle de néonatalogie et du Pôle Réanimation néonatale du Professeur S., à l’Hôpital Nord de Marseille depuis 1996.

Elle a expliqué avoir voulu créer une base de données des informations médicales :

– de mai 2006 à mai 2007, elle a ainsi participé à la création d’un cahier des charges en vue de la création de cette base de données. Les médecins du service devaient remplir un formulaire WORD avec des renseignements médicaux sur les patients (antécédents, grossesses, historique de l’hospitalisation du bébé…).

– de mai 2007 à janvier 2009, des essais de saisies dans le service ont été mis en place pour développer le projet avec l’APHM, tout en travaillant également à la faisabilité du projet dans le cadre de l’appel d’offre publique du réseau « Naître et Devenir ». Le but était de créer un dossier médical et de suivi, une base de données épidémiologiques pour le suivi des bébés prématurés, pour améliorer la collaboration entre les acteurs médicaux par un partage des informations, notamment en cas de transfert vers d’autres hôpitaux, et également évaluer le service de néonatalogie et le réseau de suivi ; ces informations devaient être à l’usage uniquement des professionnels médicaux.

Dans ce contexte, Madame Y. a contacté la société DBSI de Monsieur Z. pour la création du portail de saisie des données et elle a transmis à cette société les données médicales.

– le 13 janvier 2009, le projet obtient un avis favorable de la Commission de l’Innovation de l’AP-HM.

– le 19 février 2009, le projet n’est pas retenu par le réseau « Naître et Devenir ».

Selon elle, la Direction du Service Informatique de l’APHM était parfaitement informée du fait que la société DBSI hébergeait les données médicales, sans que rien ne soit fait pour valider ou non cet hébergeur, ou pour faire héberger ces données directement par l’hôpital. Elle avoue savoir que le traitement informatisé automatisé des données médicales dont elle est à l’origine n’avait pas reçu l’autorisation de la CNIL.

2°/ Monsieur Z : Gérant de la SARL DBSI puis de la société ANLY6, ayant pour activité le traitement de données, la réalisation de logiciels et de conseils en systèmes informatiques.

Dans son audition, M. Z confirmait avoir été contacté par Mme Y en 2008 pour le réseau « Naître et Devenir » dans le cadre d’un projet de constitution d’une base de données « patients » sur les grands prématurés, pour collecter toutes les informations de santé d’avant la naissance jusqu’à l’âge de trois ans, l’idée étant de collectionner le maximum de données afin d’évaluer les risques encourus. Il s’agissait d’un outil informatique et statistique pour réaliser des analyses des données.

Il expliquait qu’après le rejet du projet par le réseau « Naître et Devenir », Mme Y avait maintenu les travaux pour faire un test sur l’Hôpital Nord.

Entre 2009 et 2011, il a donc constitué un logiciel qui comprenait la mise en ligne d’un portail de saisie sur internet, lequel était hébergé chez l’hébergeur Hosteur.com, non agréé pour les données de santé. Ce portail était accessible avec un login et un mot de passe. Il a confirmé à l’audience avoir créé le logiciel et l’avoir mis sur un site provisoirement, pour vérifier son bon fonctionnement, en précisant que lorsque le logiciel est mis sur le site, il ne contient encore aucune donnée.

3°/ Monsieur X. : Directeur du service d’information et de l’Organisation (DSIO) de l’AP-HM au moment des faits. Il contestait la version de Mme Y. Selon lui, Mme Y avait un projet de développement d’un système informatique visant à collecter des données sur des grossesses, mais son service n’y a finalement pas donnée suite, n’ayant ni le temps, ni les ressources nécessaires. Il affirmait que Mme Y a mené seule le projet et qu’elle a géré la demande de développement et d’hébergement à l’insu de son service.

 

LES POURSUITES PENALES : Le Procureur de la République a fait comparaître Mme Y, M. Z et M. X pour les infractions pénales suivantes :

1°/ Madame Y. : En qualité de professionnel de santé, il lui est reproché d’avoir procédé ou fait procéder à des traitements de données à caractère personnel sans autorisation préalable de la Commission Nationale de l’Informatique et des Libertés (CNIL), en l’espèce en ayant fait traiter des données informatisées de santé concernant des enfants et des femmes hospitalisés dans l’unité de néonatalogie de l’hôpital Nord de l’AP-HM au sein de laquelle elle exerçait en qualité de pédiatre, dans le cadre du développement d’un projet de réseau de santé pour des enfants nés prématurés, sans autorisation préalable de la CNIL.

La date de l’infraction retenue a été fixée entre le 12 février 2010 et le 12 février 2013.

Fondement juridique retenu : article 226-16 du code pénal « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende » (en l’espèce : demande d’autorisation préalable auprès de la CNIL, conformément à l’article 25 de la loi du 6 janvier 1978).

2°/ Monsieur Z. : En sa qualité de gérant de la société DBSI, il est prévenu pour avoir :

– procédé à un traitement automatisé d’informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés, en l’espèce en créant un portail de saisie de données informatisées de santé concernant des enfants et des femmes hospitalisés dans l’unité de néonatalogie de l’hôpital Nord de l’AP-HM dans le cadre d’une prestation relative à un projet de réseau de santé pour des enfants nés prématurés, sans s’assurer de la sécurisation de ce portail,

Fondement juridique retenu : Article 226-17 du code pénal : « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende » (prendre toute précaution pour la sécurisation des données et éviter qu’elles soient déformées, endommagées ou accessibles à des tiers non autorisés).

– hébergé ou fait héberger des données à caractère personnel sans agrément délivré par le ministre chargé de la santé, en l’espèce en choisissant en connaissance de cause un hébergeur rémunéré par lui qui n’était pas agréé et qui n’était pas sécurisé alors qu’il s’agissait de traiter de données informatisées de santé concernant des enfants et des femmes hospitalisés dans l’unité de néonatalogie de l’hôpital Nord de l’AP-HM.

Fondement juridique retenu : Article L. 1115-1 du code de santé publique « La prestation d’hébergement de données de santé à caractère personnel recueillies auprès de professionnels ou d’établissements de santé ou directement auprès des personnes qu’elles concernent sans être titulaire de l’agrément prévu par l’article L. 1111-8 ou de traitement de ces données sans respecter les conditions de l’agrément obtenu est puni de trois ans d’emprisonnement et de 45 000 euros d’amende ».

3°/ Monsieur X. :  En qualité de DSIO, il est prévenu d’avoir procédé ou fait procéder à un traitement automatisé d’informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés, en l’espèce en n’ayant pas assuré la protection, la confidentialité et la sécurité des dossiers médicaux informatisés hospitaliers concernant des enfants et des femmes hospitalisés dans l’unité de néonatalogie de l’hôpital Nord de l’AP-HM et en participant à leur externalisation dans le cadre du développement d’un projet de réseau de santé pour des enfants nés prématurés.

La date de l’infraction retenue a été fixée entre le 12 février 2010 et le 12 février 2013.

Fondement juridique retenu : Article 226-17 du code pénal : « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende » (prendre toute précaution pour la sécurisation des données et éviter qu’elles soient déformées, endommagées ou accessibles à des tiers non autorisés).

LE RAISONNEMENT DU JUGE PENAL :

1°/ Madame Y. : Condamnation pour traitement informatisé sans autorisation préalable.

Ne contestant pas avoir fait procéder à un traitement informatisé de données médicales sans autorisation de la CNIL, elle est condamnée à une peine d’amende de 5.000 euros.

2°/ Monsieur Z. : Relaxe des deux chefs d’accusation.

Le juge pénal n’a pu condamner M. Z. Selon l’article 34 de la loi CNIL, seul le responsable du traitement est tenu à une obligation de précaution pour préserver la sécurité des données. Cependant, l’article 3 de la loi CNIL précise que « Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ». En l’espèce, M. Z. « n’a fait que » créer un logiciel sur la base d’un cahier des charges établi par le D. Y. Il n’est donc pas qualifié de responsable du traitement par le juge pénal qui ne peut donc le condamner.

De la même manière, seul l’hébergeur de données peut se voir condamné pour défaut d’agrément. En revanche, il n’est pas prévu d’infraction pour avoir fait héberger des données par un hébergeur non agréé. M. X. n’est donc pas coupable d’hébergement sans agrément.

3°/ Monsieur X : Relaxe.

Faute de preuve permettant de démentir ses affirmations selon quoi son service n’a jamais été informé de la poursuite du projet par le Docteur Y., il doit être considéré comme n’ayant pas connaissance de l’externalisation effective des données médicales et de leur hébergement chez un hébergeur non agréé.

COMMENTAIRE :

La condamnation d’un médecin peut paraître sévère. Cependant, le jugement ne fait que mettre en lumière l’obligation qui pèse sur les établissements de santé et les professionnels en matière de traitement de données de santé. S’il avait été démontré que l’APHM était parfaitement informée du réseau mis en place par le Docteur Y., elle aurait été certainement déclarée responsable du traitement et condamnée à sa place. Cependant ici, c’est l’initiative du médecin, sa création d’un réseau de données selon ses propres volontés (rédaction d’un cahier des charges) et sa parfaite connaissance de l’irrégularité de la procédure faute d’autorisation préalable auprès de la CNIL qui sont sanctionnées.

Les deux éléments de l’infraction pénale sont constatés :

– L’élément matériel : Le Docteur Y. a procédé au traitement de données de santé sans autorisation de la CNIL ;

– L’élément intentionnel : Le Docteur Y. savait qu’elle ne disposait pas de l’autorisation mais elle a sciemment continué le traitement des données.

La solution retenue à l’encontre de M. Z. est parfaitement fondée en droit. Très certainement, aucun élément de l’instruction pénale n’a permis de le rattacher à l’hébergement des données. On peut s’en émouvoir lorsqu’on constate que la société créée en 2011 porte le nom de « ANLY6 » et que l’APHM soutient avoir demandé à l’hébergeur, la société « DS ANALY SIX » de cesser l’infraction. M. Z. évoque pourtant lors de son audition avoir fait héberger sur le serveur HOSTER. Faute de disposer du dossier pénal, il ne peut être fait la lumière sur ce point.

On regrettera alors que l’hébergeur n’ait pas été attrait à la procédure et poursuivi pour hébergement sans agrément. Mais l’instruction pénale était seulement dirigée contre Mme Y, M. Z et M. X. Reste à savoir s’il fait l’objet d’une instruction pénale dans le cadre d’une enquête distincte.

 

Audrey UZEL