L’objet de la plainte concerne l’accès aux données de la plaignante [Madame X] par des membres du personnel de la défenderesse [Le Centre Hospitalier Y] autres que ceux et celles ayant pris en charge la plaignante lors de sa visite initiale auprès d’un centre spécialisé de la défenderesse.

La plaignante expose qu’à la suite d’une agression sexuelle, elle s’est en septembre /octobre 2021 rendue au Centre Z , un centre spécialisé de la défenderesse.

La plaignante précise également qu’environ 8 mois plus tard, le 19 avril 2022, elle s’est rendue à une consultation psychologique auprès de la défenderesse. Cette consultation a eu lieu dans le contexte de sa grossesse et de la préparation à l’accouchement à venir, sans lien expose-t-elle avec la violence sexuelle vécue. La plaignante indique que lors de cette consultation, la psychologue lui a posé un certain nombre de questions sur l’agression sexuelle dont elle avait été victime. La plaignante indique en avoir déduit que, manifestement, la psychologue avait eu accès aux informations détenues par le centre Z à la suite de son passage en septembre /octobre 2021.

La plaignante rapporte s’être inquiétée de cette situation et du fait qu’un grand nombre de personnes (membres du personnel de la défenderesse, médecins, …) semblait ainsi pouvoir accéder à des données très délicates et sensibles la concernant.

La plaignante expose encore que le jour même, elle a oralement contacté le centre Z qui lui a indiqué que l’ensemble du personnel médical de la défenderesse pouvait accéder au résumé de sa consultation au centre Z (en ce compris dès lors selon la plaignante aux détails de l’agression sexuelle dont elle avait été victime).

La plaignante dit avoir sollicité que seul le centre Z ait accès aux dites informations. Elle rapporte qu’il lui a été répondu que ce n’était alors pas possible mais qu’une procédure était en cours pour rendre ce type de données moins accessibles et qu’à terme, seules les données relatives à la dispense de l’un ou l’autre médicament par exemple seraient accessibles et non plus l’intégralité du dossier.

La Chambre Contentieuse conclut que les données relatives à l’agression sexuelle dont la plaignante rapporte avoir été victime sont des données à caractère personnel la concernant au sens de l’article 4.1. du RGPD. Certaines d’entre-elles sont, selon toute vraisemblance, relatives à sa santé au sens de l’article 9.1. du RGPD et du considérant 43 de celui-ci. D’autres données plus factuelles, liées à la description des faits d’agression par exemple, ne sont potentiellement pas sensibles au sens de l’article 9.1. du RGPD. La Chambre Contentieuse n’en est pas moins d’avis que ces données sont, dans le contexte de violence sexuelle dont la plaignante a été victime, des « données à caractère hautement personnel » au sens que donne le Comité européen de la protection des données (CEPD) à cette notion. La plus grande vigilance quant au respect du RGPD doit être de mise à leur égard.

La Chambre Contentieuse relève qu’il ressort également de la plainte et des pièces produites par la plaignante qu’il y a bien « traitement » de données au sens de l’article 4.2. du RGPD, les données personnelles de la plaignante étant conservées et accessibles électroniquement.

Sur la base de la politique de confidentialité de la défenderesse, la Chambre Contentieuse estime, prima facie, que la défenderesse est le responsable de traitement présumé des traitements de données de la plaignante, en ce compris ceux réalisés par le Centre Z .

Tout responsable de traitement est tenu de respecter l’article 24 du RGPD qui implique que compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable de traitement mette en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au RGPD. Tout responsable de traitement doit par ailleurs être en mesure de le démontrer (article 5.2. du RGPD).

Le responsable de traitement est également soumis à l’obligation de sécurité prévue à l’article 32 du RGPD : « 1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable de traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un haut niveau de sécurité adapté au risque, y compris entre autres selon les besoins : (…) b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement. (…) ».

La confidentialité est la propriété d’une information de ne pouvoir être accédée que par des personnes, entités ou processus autorisés et de ne pouvoir être divulguée qu’à des personnes, entités ou processus autorisés. Cette possibilité d’accorder un accès sélectif aux informations doit être assurée tout au long de la vie de ces informations notamment au cours de leurs collectes, de leur conservation, de leurs traitements et de leurs communications. En pratique, les seules personnes autorisées à accéder aux données à caractère personnel sont les personnes dont la fonction ou les activités professionnelles justifient cet accès.

Il découle ainsi de l’article 32 du RGPD lu conjointement avec l’article 24 du RGPD que la défenderesse était et demeure tenue de mettre en œuvre toutes les mesures techniques et organisationnelles de nature à garantir que les prestataires de soins et autres professionnels qui recourent à son système d’échange d’information n’accèdent qu’aux seules données du dossier de patient nécessaires à leurs prestations respectives et ce, dans le respect de l’ensemble du cadre juridique applicable dont, mais non exclusivement, le RGPD.

Dans sa recommandation CM/Rec(2019)29 , le Comité des ministres du Conseil de l’Europe10 recommande dans le même sens ce qui suit: « l’échange et le partage de données relatives à la santé entre professionnels de santé devraient être limités aux informations strictement nécessaires à la coordination ou la continuité des soins, à la prévention ou au suivi médicosocial et social de la personne. Chaque professionnel de santé ne peut, dans ce cas, transmettre ou recevoir que les données qui relèvent du périmètre de ses missions, en fonction de ses habilitations. Des mesures appropriées devraient être prises afin de garantir la sécurité des données. L’utilisation d’un dossier médical électronique et d’une messagerie électronique de nature à permettre le partage et l’échange de données relatives à la santé devrait respecter ces principes ».

De manière générale, l’accès à des données hébergées sur un serveur tel celui d’un hôpital doit prendre en considération plusieurs critère et conditions déterminants tels que l’identité et la qualité du demandeur d’accès, le type de données concernées, le degré de confidentialité de celles-ci, la finalité de la demande et la durée de l’accès. Le serveur devra intégrer ces différents facteurs de manière à ce que les accès soient filtrés et réservés à ceux qui y sont autorisés dans le respect du RGPD et d’autres normes auxquelles les accédants sont respectivement tenus.

La Chambre Contentieuse relève qu’il semble ressortir des échanges de courriels produits par la plaignante que l’ensemble du personnel de la défenderesse ait potentiellement accès aux données personnelles la concernant, à tout le moins celles dont elle fait état relativement à l’agression sexuelle dont elle a été victime. Il n’appartient pas à la Chambre Contentieuse de conclure que l’accès qu’a opéré la psychologue aux données de la plaignante était ou non nécessaire à ses prestations professionnelles. En revanche, si la défenderesse ne devait pas disposer d’une politique d’accès aux données des dossiers médicaux qui soit conforme au RGPD et plus particulièrement au principe de sécurité lu en combinaison avec le principe d’accountability, la défenderesse se rendrait coupable de violation de ces dispositions.

(Autorité de protection des données [BE], Chambre contentieuse, décision 103/2023 du 26.07.2023 – https://www.gegevensbeschermingsautoriteit.be/publications/waarschuwing-nr.-103-2023.pdf)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)