L’autorité italienne de protection des données (APD ; Garante per la protezione dei dati personali) a été informée qu’un médecin généraliste (responsable du traitement) traiterait les données à caractère personnel de ses patients en violation des principes d’intégrité et de confidentialité.

En effet, sur le mur extérieur du cabinet du médecin, il y avait une boîte aux lettres et une boîte métallique sans nom, et sur la boîte, il y avait l’indication « seulement prescriptions médicales » avec une clé insérée dans la serrure. Cette boîte était librement accessible au public et se trouvait sur une place publique. A l’intérieur de la boîte, il y avait de nombreuses prescriptions médicales, non placées dans des enveloppes fermées, délivrées à différents sujets.

Dans une décision 9983244 du 11.01.2024 (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9983244, présentée et résumée sur gdprhub :  https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_9983244), l’APD a noté que les données en question relevaient du champ d’application de l’art. 4 par. 15 RGPD en tant que données relatives à la santé, qui nécessitent une protection supplémentaire étant donné que leur traitement pourrait entraîner des risques graves pour les droits et libertés fondamentaux des personnes concernées, comme l’indique le consid. 51 RGPD.

L’APD a également souligné que selon l’art. 5 par. 1 point f) RGPD, le responsable du traitement aurait dû respecter les principes d’intégrité et de confidentialité. Ainsi, le responsable du traitement aurait dû adopter des mesures techniques et organisationnelles pour assurer un niveau de sécurité approprié au risque, conformément à l’art. 32 RGPD.

En outre, l’article 2-septies, paragraphe 8, du Code italien de la protection de la vie privée interdit expressément la diffusion de données susceptibles de révéler l’état de santé des personnes concernées.

Se référant à ses propres communiqués de presse de 2014 et 2015, l’APD a déclaré que pour éviter que des tiers n’accèdent à des données sensibles, telles que des données de santé, il est essentiel que les prescriptions soient délivrées dans une enveloppe scellée. En outre, l’APD a indiqué que lors de la pandémie de COVID-19, le numéro de prescription électronique avait été proposé dans le but d’empêcher les patients de se rendre au cabinet d’un médecin généraliste pour retirer une ordonnance. Il s’agissait d’une alternative que le responsable du traitement aurait dû utiliser.

Par conséquent, considérant que le responsable du traitement avait violé les art. 5, 9 et 32 RGPD, ainsi que  l’article 2-septies(8) du Code italien de la protection de la vie privée, et que la responsabilité du responsable du traitement était élevée, l’APD l’a condamné à une amende de 20 000 €.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)