La personne concernée a passé une demi-journée au service des urgences de l’hôpital de La Paz en tant que patient. Au cours de cette visite, l’accès aux dossiers médicaux de la personne concernée a été effectué par une infirmière qui ne fournissait pas de soins de santé à la personne concernée et qui travaillait dans un autre service du même hôpital, mais qui avait accès au système avec son identification personnelle. La personne concernée a déposé une plainte auprès de l’autorité espagnole de protection des données contre le ministre régional de la santé de Madrid (le responsable du traitement) en raison de l’accès illégal à son dossier médical. L’incident a fait l’objet d’une enquête interne à l’hôpital et les conclusions ont conduit à la reconnaissance d’une violation de la confidentialité des données (art. 32 RGPD). L’infirmière a été réprimandée pour cet incident.

Lorsque l’autorité espagnole de protection des données (APD ; Agencia Española de Protección de Datos) a décidé d’ouvrir une enquête pour violation du RGPD, le responsable du traitement a affirmé que l’hôpital disposait de mesures organisationnelles et techniques appropriées conformément au plan de sécurité national. Par exemple, toutes les activités de l’utilisateur sont enregistrées, ce qui permet d’identifier le membre du personnel qui a accédé aux dossiers médicaux et d’évaluer les activités illicites. Le responsable du traitement a également fait valoir la mise en place, entre autres, d’audits en cas de violation des données, la segmentation du système par profils afin de limiter l’accès des différents utilisateurs au strict nécessaire (minimisation des données ; art. 5 let. c RGPD), la signature d’accords de confidentialité par les employés et l’affichage d’une bannière informative avertissant de la possibilité d’un accès illégitime chaque fois qu’un employé tente d’accéder à des dossiers. Dans le même ordre d’idées, le responsable du traitement a déclaré que l’hôpital dispensait une formation sur la sécurité et la protection des données.

L’APD, dans une décision PS/00587/2021 (https://www.aepd.es/documento/ps-00587-2021.pdf) présentée et commentée par Michelle Ayora sur gdprhub (https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_PS/00587/2021), considérai notamment que la plupart des mesures de sécurité décrites étaient inefficaces pour prévenir l’accès illicite. Le registre des activités et les audits étaient des mesures de réaction après l’incident ; la bannière n’avait qu’un but informatif et n’interdisait pas l’accès aux utilisateurs illégitimes. Enfin, l’accord de confidentialité n’a pas empêché en soi l’accès illégitime. En ce qui concerne la segmentation des profils, l’APD a déclaré qu’elle pouvait être considérée comme la seule mesure valable et efficace.

Le responsable du traitement n’a pas mis en œuvre de mesures permettant aux employés d’accéder uniquement aux dossiers médicaux des patients auxquels ils fournissent des soins de santé (et non à un accès général entre les différents services).

En outre, les sites de soins médicaux doivent mettre en œuvre des mesures tenant compte des patients assignés à chaque professionnel, du service de santé dans lequel ils travaillent et de leurs horaires de travail (puisqu’une même infirmière peut travailler dans un service pendant une semaine déterminée, puis passer à un autre), afin d’éviter l’accès aux dossiers médicaux par des professionnels qui ne sont pas assignés à ces patients. L’APD a suggéré l’utilisation d’une application informatique qui contrôle l’accès aux dossiers médicaux en déterminant si la demande est légitime, en tenant compte de la spécialisation de l’utilisateur, de son équipe ou de ses tâches professionnelles à ce moment-là. Cette mesure devrait également être complétée par des audits respectifs du système.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)