Souvent considérée comme une question secondaire, sinon dépourvue d’intérêt, la problématique de la gestion des données personnelles des patients, vient de prendre en ce début d’année une nouvelle dimension que les médecins libéraux doivent impérativement appréhender.
On constate en effet un mouvement d’amplification des sanctions, disciplinaires ou pécuniaires, à l’encontre des médecins qui méconnaissent les règles de gestion des données de santé.
Désormais, la Commission nationale informatique et liberté (CNIL)1 ainsi que les chambres disciplinaires de l’ordre des médecins2 n’hésitent pas à sanctionner, parfois sévèrement, les médecins qui contreviennent aux prescriptions du règlement européen ou du Code de la santé publique en la matière.
Avant de présenter les évolutions des jurisprudences de la CNIL ou des juridictions ordinales, un bref détour par le passé s’impose.
Jusqu’au début des années 2000, la protection des données était essentiellement statique et relevait d’un travail de classification et d’archivage d’informations médicales reportées sur des dossiers physiques.
Dans ce contexte et en dehors de quelques affaires célèbres où l’accès aux dossiers médicaux devenait une source d’information destinée au grand public (maladie d’un président de la République), l’enjeu de la protection était limité à celui de la conservation.
La numérisation des données a transformé la donne. L’informatisation conduit à poser la question du traitement des données médicales et de leur protection dans un environnement nouveau. Dès le 6 janvier 1978, la France s’est dotée d’une législation sur le traitement des données personnelles (Loi relative à l’informatique, aux fichiers et aux libertés) qui n’a cessé de s’enrichir tandis que les données de santé connaissent un régime juridique plus protecteur eu égard à leur caractère sensible.3
Avant le 25 mai 2018, et l’entrée en vigueur du Règlement général de la protection des données4 (RGPD), la CNIL avait mis en place un engagement de conformité à la norme simplifiée 50 (NS-050) pour les cabinets médicaux. Cet engagement simplifié avait l’avantage de permettre au médecin de se familiariser avec la problématique de la protection des données, ou, a minima, d’en être informé.
Le RGPD constitue une véritable révolution dans le droit de la protection des données. Désormais, outre la déclaration d’information du traitement des données à la CNIL ou une quelconque autorité, ces dernières disposent en cas de plainte des patients du pouvoir de vérification sur place de la mise en conformité du cabinet avec les normes européennes. La confiance dans une mise en conformité spontanée se double de sanctions accrues en cas de manquement.
L’évolution de la règlementation en matière de protection des données de santé est souvent mal connue. La complexité des règles mises en place ne favorise guère l’acculturation des médecins. Le « guide pratique sur la protection des données personnelles »5 édité en juin 2018 sous l’égide du Conseil national de l’ordre des médecins en coopération avec la CNIL constitue un document utile et bienvenu.
Toutefois, il n’a pas été actualisé depuis 2018 de sorte que les récentes évolutions de la matière, en particulier la jurisprudence suivant l’entrée en vigueur du Règlement européen ne s’y trouve pas. Or, la définition volontairement extensive des violations de données confère aux autorités, administratives, disciplinaires et judiciaires un pouvoir d’interprétation très conséquent. C’est ainsi par exemple qu’une « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données »6 est appréhendée par les autorités juridictionnelles comme une violation de données.
Aujourd’hui, dans le domaine de la gestion des données de santé, les médecins libéraux se trouvent confrontés à deux risques majeurs : le défaut de sécurisation des données et la copie non autorisée pouvant donner lieu à des sanctions disciplinaires.
Le risque de sanction pécuniaire en cas de défaut de sécurisation et d’information
Le défaut de sécurisation des données
Le médecin libéral a l’obligation de sécuriser les données personnelles qu’il traite dans le cadre de sa pratique.
Deux affaires récentes illustrent les contraintes de l’obligation de sécurisation.
Dans une première affaire7, un site web a signalé l’accès libre à des serveurs informatiques d’imagerie médicale permettant la consultation et le téléchargement d’images médicales (IRM, radios, scanners, etc…) suivies notamment des noms, prénoms, date de naissance et date de consultation des patients. La CNIL a mis en jeu la responsabilité des praticiens et les a sanctionnés pécuniairement.
Elle a en effet considéré qu’en application de l’article 32 du RGPD, il incombait au responsable du traitement, de veiller à la sécurité des données qu’il traitait dans le cadre de son activité professionnelle. La CNIL souligne dans cette affaire que le caractère sensible des informations de santé nécessite, en application du RGPD, une vigilance toute particulière pour éviter les violations de données.
La CNIL souligne la carence du médecin, lequel, en maintenant (sans doute par inattention) des réglages par défaut d’une box internet, ne s’était pas assuré de la limitation des flux réseau au strict nécessaire. Cette carence conduit à une violation du RGPD.
Dans la même affaire, la CNIL considère que l’absence de cryptage d’un disque dur externe contenant des éléments d’imagerie médicale était aussi susceptible d’engager la responsabilité du médecin eu égard au défaut de sécurisation des données.
Le cas illustre la nécessité pour le médecin libéral de tout mettre en œuvre pour sécuriser les données.
Dans la seconde affaire8, la CNIL a considéré que l’absence de chiffrement d’un ordinateur portable contenant des données de santé entraînait une violation de l’article 32 indépendamment de toute violation. Dans cette perspective, la commission est obligée de préciser que : « l’absence de chiffrement, les données médicales contenues dans le disque dur de cet ordinateur étaient lisibles en clair par toute personne prenant possession de cet appareil (par exemple, à la suite de sa perte ou de son vol) ou par toute personne s’introduisant de manière indue sur le réseau auquel cet ordinateur était raccordé ».
Il s’ensuit que ce n’est plus seulement la violation des données à caractère personnel qui est de nature à engager la responsabilité du médecin. Désormais, un simple défaut de sécurisation suffit.
Le défaut d’information : une conséquence de l’absence de sécurisation des données
Assez mal connue des praticiens, l’obligation d’information des instances de la CNIL est régie par l’article 33 du RGPD qui précise dans son premier paragraphe qu’en « cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. »
Le médecin qui découvre, ou qui est informé, d’une violation des données dont il assure le traitement, doit agir dans un délai très bref, pour informer la CNIL de son existence. Cette obligation vaut d’ailleurs y compris lorsque l’information provient de la CNIL elle-même. L’absence de diligence du médecin est de nature à engager sa responsabilité.
Pour satisfaire à son obligation, le médecin doit notamment présenter dans sa notification, les faits (la nature de la violation), les effets (les conséquences raisonnablement attendues de la violation) et les mesures coercitives (correctif et mesures envisagées pour empêcher une répétition de la violation).
Le manquement du médecin entraîne des sanctions pécuniaires.
Il peut également engager sa responsabilité disciplinaire voire pénale.
Le risque de sanctions disciplinaires et pénales en cas de copies des données de santé
L’attention doit être portée, au-delà des seules sanctions prononcées par la CNIL, sur le risque disciplinaire, voire pénal, auquel peuvent s’exposer les médecins, souvent à leur corps défendant, lorsqu’ils manipulent des données de santé.
Un exemple récent mérite d’être rapporté à propos d’un médecin ayant procédé à la copie de données de santé et qui s’est ainsi exposé à une sanction disciplinaire qui peut tout aussi bien être appréhendée par le juge répressif.
Une appréciation rigoureuse par la chambre disciplinaire volontaire
Concernant les sanctions disciplinaires, la chambre disciplinaire de première instance d’Occitanie9n’a pas hésité à sanctionner par une interdiction temporaire d’exercer un médecin collaborateur qui avait connecté son compte cloud personnel sur l’ordinateur mis à sa disposition, et qui avait ainsi tenté de copier les données de l’ensemble des patients.
Dans cette affaire la chambre disciplinaire, pour justifier l’interdiction temporaire d’exercer, a notamment considéré que : « il résulte de l’instruction que le Docteur X a, d’une part, installé sur l’ordinateur mis à sa disposition un logiciel qui lui a permis de consulter et de copier les données médicales concernant l’ensemble des patients du cabinet contenues dans le logiciel de gestion de patientèle, d’autre part, utilisé une application de synchronisation qui lui a permis d’exporter ces données, dont la conservation était sous la responsabilité du docteur A., vers un espace en ligne non sécurisé. Le docteur X a ainsi méconnu les obligations déontologiques énoncées aux articles R 4127-4 ; R 4127-73, R 4127-96 du code de la santé publique. »
Ainsi, un médecin collaborateur a été condamné à plusieurs mois d’interdiction d’exercer, dont une partie avec sursis, pour avoir tenté de récupérer, par le biais de son cloud personnel, les données de la patientèle de son employeur.
Il se déduit de cette décision que l’utilisation de compte personnels qu’ils soient espace de stockage ou compte mail, pour envoyer des données de santé y compris à soi-même, entraîne l’utilisation d’un hébergeur non certifié, en violation des dispositions de violation des articles L1111-8 du Code de la santé publique.
Dès lors, la copie d’information médicale, fût-ce pour travailler à son domicile, est susceptible d’entraîner des conséquences disciplinaires lourdes.
Une sanction pénale évolutive
Dans certaines hypothèses, la sanction disciplinaire peut ne pas mettre fin au mécanisme sanctionnateur. L’ombre de la sanction pénale pèse alors sur le médecin fautif.
La copie illégale de données de santé est en effet de nature à engager la responsabilité pénale du médecin en cas d’atteintes aux systèmes de traitement automatisé de données et plus particulièrement pour la violation des articles 226-17 et 226-19 du Code pénal.
En effet, l’action de copier en dehors du cadre strict défini par la loi peut être appréhendée comme une violation des articles L1111-8 du Code de la santé publique et en cascade de l’article 226-16 du Code pénal.
L’article L1111-8 du code de la santé publique prévoit expressément le dépôt des données de santé « auprès de personnes physiques ou morales certifiées à cet effet ». Or, l’ensemble des « clouds » personnels, même ceux que l’entreprise héberge sur des serveurs spécifiques des données de santé, ne peuvent être considérés comme certifiés. Partant, la violation des dispositions du code de la santé publique, peut être regardée comme entraînant la violation de l’article 226-16 du Code pénal qui précise que :
« Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende. »
En effet, l’absence de recours à un hébergeur certifié pour conserver des données de santé, outre qu’il pose un évident problème de sécurisation des données, peut être appréhendée en dernière analyse comme un manquement au respect des formalités préalables prévues par la loi et engager de ce fait, la responsabilité pénale du médecin.
L’article 226-17 du Code pénal érige en délit « le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites aux articles 24, 25, 30 et 32 du règlement (UE) 2016/679 du 27 avril 2016 précité ou au 6° de l'article 4 et aux articles 99 à 101 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende. » C’est-à-dire sans sécuriser les données.
On rappellera pour finir que la sanction pénale est parfaitement compatible avec l’existence d’une sanction administrative, le principe non bis in idem n’étant pas affecté par le mécanisme de double sanction de nature distincte.
L’alerte est donc forte. Les médecins libéraux doivent être particulièrement attentifs dans le traitement automatisé des données de santé.
Par Pierre Egea-Ausseil, Professeur de droit public, avocat associé et Marc Sztulman avocat chez Alteia
_________________________
1 CNIL, Délibération SAN-2020-015 du 7 décembre 2020 ; CNIL, Délibération SAN-2020-014 du 7 décembre 2020
2 Chambre disciplinaire de première instance d’Occitanie de l’Ordre des médecins, affaire n°7058/33/21/VB
3 Article 6 de la Convention 108 du Conseil de l’Europe, article 9 du RGPD.
4 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
5 https://www.cnil.fr/sites/default/files/atoms/files/guide-cnom-cnil.pdf
6 Article 4§12 RGPD.
7 CNIL, Délibération SAN-2020-014 du 7 décembre 2020
8 CNIL, Délibération SAN-2020-015 du 7 décembre 2020
9 Chambre disciplinaire de première instance d’Occitanie de l’Ordre des médecins, affaire n°7058/33/21/VB