Outre les sanctions prononcées par la Commission nationale de l’informatique et des libertés (Cnil), les manquements aux textes applicables à la protection des données à caractère personnel peuvent faire l’objet de sanctions pénales.

C’est ce que rappelle le jugement prononcé par le Tribunal correctionnel de Marseille le 7 juin dernier à l’encontre d’un médecin qui a été reconnu coupable des faits de traitement de données à caractère personnel sans autorisation de la Cnil et condamné à 5 000€ d’amende. Soulignons qu’en vertu de l’article 226-16 du Code pénal, le médecin prévenu encourait jusqu’à cinq ans d’emprisonnement et 300 000€ d’amende.

Quels sont les faits ?

Une patiente de l’Assistance Publique – Hôpitaux de Marseille avait découvert, en faisant une recherche à partir de ses nom et prénom sur le moteur de recherche Google, qu’un lien hypertexte figurant dans les résultats de recherche permettait d’avoir accès au dossier médical de son enfant (état du bébé, commentaires médicaux…). Le lien hypertexte permettait également d’accéder aux données relatives à d’autres personnes (nom, prénom, numéro de sécurité sociale, historique de l’hospitalisation du bébé, antécédents…).

Dans ce contexte, elle avait déposé une plainte pour violation du secret professionnel à l’encontre dudit établissement public.

L’enquête a notamment révélé :

  • qu’un médecin de l’établissement public était à l’origine de la création de la base de données accessible au personnel de son service, laquelle leur permettait de réaliser le suivi des patients (femmes et enfants hospitalisés dans l’unité de néonatalogie).
  • que l’accès aux données n’était pas sécurisé, les procédures d’identification et d’authentification pouvant être contournées.
  • que l’hébergeur des données à caractère personnel de santé contenues dans ladite base de données n’était pas agréé au sens de l’article L.1111-8 du Code de la santé publique.
  • que le traitement de données à caractère personnel de santé mis en oeuvre n’avait pas été préalablement autorisé par la Cnil.

Dans ce contexte, trois personnes ont été poursuivies devant le Tribunal correctionnel de Marseille :

  • le responsable de la Direction des Systèmes d’Information et de l’Organisation de l’Assistance Publique – Hôpitaux de Marseille pour avoir « procédé ou fait procéder à un traitement automatisé d’informations nominatives sans prendre tous les précautions utiles pour préserver la sécurité de ces informations
    […] ».
  • le médecin de l’Assistance Publique – Hôpitaux de Marseille considéré comme étant à l’origine de la création de la base de données pour avoir « procédé ou fait procéder à des traitements de données à caractère personnel sans autorisation préalable » de la Cnil.
  • le gérant de la société à qui il avait notamment été confiée la réalisation de la plateforme de saisie des données à caractère personnel de santé, ladite plateforme ayant été hébergée par une société tierce.

Un traitement mis en oeuvre sans autorisation de la Cnil

Il convient de souligner que seul le médecin de l’Assistance Publique – Hôpitaux de Marseille a été reconnu coupable des faits reprochés dans la mesure où l’enquête a révélé que c’est en connaissance de cause que le traitement avait été mis en oeuvre sans autorisation préalable de la Cnil en violation de la loi Informatique et Libertés.

Sans se prononcer expressément, il semble que le Tribunal correctionnel attribut la qualification juridique de responsable du traitement au médecin condamné, ce dernier ayant activement participé à la rédaction du cahier des charges relatif à la plateforme, ayant défini les finalités et les moyens du traitement.

Bien qu’il soit rare que la qualité de responsable du traitement soit attribuée à une personne physique, la réglementation applicable et à venir le prévoient. En effet, tant la loi Informatique et Libertés que le RGPD précisent que cette qualité est reconnue à « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement […]. » (article 4, 7) du RGPD).

Un hébergeur de données à caractère personnel de santé non agréé, non sanctionné

La fourniture d’un service d’hébergement de données à caractère personnel de santé est soumis à l’obtention d’un agrément délivré par le Ministre de la santé après avis de la Cnil et du Comité d’agrément des hébergeurs (articles L.1111-8 et suivants du Code de la santé publique).

En l’espèce, le Tribunal souligne que l’hébergement des données a été réalisé en violation du cadre juridique applicable, l’hébergeur n’étant pas agréé. Toutefois, le gérant poursuivi n’étant l’hébergeur de la base de données, il a été relaxé. En effet, il convient de souligner que seul l’hébergement en l’absence d’agrément est pénalement sanctionné, non le recours à un hébergeur non agréé (article L.1115-1 du Code de la santé publique). Or, ni la société ni le gérant de la société ayant hébergé la base de données n’étaient poursuivis dans cette affaire.

Il convient toutefois de souligner que tout prestataire ayant la qualité de sous-traitant dans le cadre de la mise en oeuvre d’un traitement doit présenter des garanties suffisantes. S’il n’en fait pas la démonstration spontanée, il appartient au responsable du traitement de procéder à des vérifications quant à la maturité du prestataire en matière de protection des données. Dans ce contexte, la justification d’un agrément ou d’une certification pourrait être un élément pris en compte dans le cadre de ses vérifications.

Que retenir ?

Rappelons que jusqu’à l’entrée en application du Règlement général sur la protection des données (RGPD), les traitements mis en oeuvre doivent être conformes à la loi Informatique et Libertés ainsi qu’à son décret d’application. Cette conformité impliquant la réalisation des formalités préalables.

Par ailleurs, il est possible de s’interroger sur l’évolution des textes relatifs à la protection des données prévus dans le Code pénal. A titre d’illustration, le RGPD supprime le régime de formalités préalables au profit du principe de responsabilisation des acteurs (accountability). Dans ce contexte, l’article 226-16 du Code pénal paraîtra quelque peu obsolète.