L’art. 179novies CP punit, sur plainte, celui qui aura soustrait d’un fichier des données personnelles sensibles ou des profils de la personnalité qui ne sont pas librement accessibles.

Cette disposition protège les personnes auxquelles se rapportent les informations contenues dans un fichier.

Par données personnelles, on entend toutes les informations qui se rapportent à une personne identifiée ou identifiable (art. 3 let. a LPD). Les données sensibles concernent les opinions ou les activités religieuses, philosophiques, politiques ou syndicales, la santé, la sphère intime, l’appartenance à une race, les mesures d’aide sociale, les poursuites ainsi que les sanctions pénales ou administratives (art. 3 let. c LPD ; PC CP, 2017, art. 179novies n. 5 et 7).

La notion de soustraction est la même qu’à l’art. 143 CP, auquel il peut être renvoyé, en précisant qu’une simple vision suffit, pour autant qu’elle permette effectivement « d’emporter la donnée avec soi », autrement dit une utilisation ultérieure. Il suffit que l’auteur appelle une information sur un écran et en prenne connaissance.

Toutefois, il faut que le fichier ne soit pas librement accessible. Cela suppose que l’auteur ne doit pas avoir le droit d’accéder à ces données, qui doivent être protégées contre un accès indu, par exemple en rendant nécessaire l’utilisation d’un code d’accès secret, qu’il ne détient pas. Des données ne sont pas librement accessibles au sens de cette disposition lorsque l’auteur doit surmonter des obstacles de nature technique pour se les procurer. Si les données soustraites sont librement accessibles à l’auteur et qu’il n’a pas dû déjouer de barrière technique pour y accéder mais uniquement la barrière que représente l’être humain, l’infraction de l’art. 179novies n’est pas réalisée.

Dans un arrêt du Juge des districts de Martigny et St-Maurice du 28 juin in Revue Valaisanne de jurisprudence [RVJ] 2006, p. 327, il avait été retenu que le prévenu avait un accès libre aux serveurs de la société plaignante, les données soustraites par ce dernier se trouvant dans son environnement de travail. Le prévenu n’avait pas dû franchir de « barrière interdite » pour réaliser ses opérations car les employés travaillaient dans un climat de confiance, seul un « contrat moral » les liant et les limitant à utiliser les seules données nécessaires à leur propre travail. Ainsi, le prévenu, en étant simplement au bénéfice d’un mot de passe qui lui permettait d’effectuer son travail au sein de la société plaignante, avait pu accéder aux serveurs contenant les données dont il s’est ensuite emparé sans difficulté. Les données soustraites étaient librement accessibles pour le prévenu, de sorte que l’un des éléments objectifs de l’infraction prévue par l’art. 179novies CP n’était pas réalisé.

Cette position est appuyée par le fait que la nouvelle loi fédérale sur le dossier électronique du patient (LDEP ; RSF 816.1), entrée en vigueur le 15 avril 2017, soit après la commission des faits, en son art. 24, érige en contravention et punit d’une amende de CHF 100’000.- au plus, l’accès intentionnel sans droit par un médecin au dossier électronique du patient, à défaut de peine plus sévère prévue par le code pénal. Ainsi, l’art. 24 LDEP serait totalement inutile si la simple consultation par un médecin, sans droit, d’un dossier électronique d’un patient (qui contient toujours des données personnelles sensibles) était déjà punissable par l’art. 179novies CP.

Dans le cas d’espèce, l’accès par un collaborateur aux dossiers médicaux qui se trouvaient hors de son périmètre (c’est-à-dire les dossiers médicaux de patients hospitalisés sur d’autres sites ou dans d’autres services) était techniquement possible. Cet accès était seulement limité par la confiance et la conscience professionnelle du collaborateur. Ce « contrat moral » incitant les employés à consulter les seules données nécessaires à leur propre travail (soit l’accès au dossier d’un patient uniquement en cas de relation thérapeutique) ne suffit pas à réaliser les conditions objectives de l’infraction. Encore faut-il que les données soustraites n’aient pas été librement accessibles par l’employée et que cette dernière ait dû franchir des « barrières interdites » pour les obtenir, ce qui n’était pas le cas. En effet, pour accéder électroniquement à un dossier médical, l’employé devrait simplement introduire un motif dans un champ à cet effet; n’importe quelle justification suffisait, le champ en cause étant par ailleurs souvent laissé incomplet, vide ou était même parfois incompréhensible.

(Arrêt du 9 juin 2021 de la Cour d’appel pénal du Tribunal cantonal fribourgeois, cause no 501 2020 136, commenté de manière critique par Frédéric Erard, Soustraction de données personnelles en milieu hospitalier, 20 août 2021 in www.swissprivacy.law/85, notamment pour ce qui est de l’exigence d’une « barrière technique »).

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)