Un médecin hospitalier qui avait procédé à un traitement automatisé de données médicales sans l’autorisation de la Cnil a été condamné à une peine de 5 000 € d’amende, par un jugement définitif du TGI de Marseille du 7 juin 2017. Le directeur des systèmes d’information et de l’organisation de l’hôpital en cause qui avait une délégation de signature, qui constituait une réelle délégation de pouvoir, a été relaxé car il n’avait pas une réelle connaissance de l’externalisation effective des données médicales et de leur hébergement chez un prestataire non agréé. Quant à ce dernier, il a été relaxé de l’infraction relative à l’absence d’agrément pour l’hébergement de données de santé, car aucun texte ne sanctionne pas le fait de faire héberger ces informations par un tiers non agréé. Comme il s’agit de données très sensibles, l’article L. 1111-8 du code de la santé publique impose en effet aux hébergeurs de données de santé le respect d’un cahier des charges très strict et l’obtention d’un agrément du ministère de la Santé. Mais dans cette affaire, l’hébergeur n’avait pas été poursuivi.
En 2013, une femme qui avait fait une recherche à partir de son nom et son prénom sur Google avait vu s’afficher ses nom et prénom ainsi que l’inscription « dossier enfant » avec son numéro de sécurité sociale. Après avoir cliqué sur le lien, elle est arrivée sur un site qui comportait un menu déroulant comprenant des noms et prénoms ainsi que les numéros de sécurité sociale. Elle a cliqué sur son nom et a découvert le dossier médical de naissance de son fils avec son état de santé, avec des commentaires, qu’elle connaissait en partie. Elle pouvait aussi accéder aux autres dossiers et elle était en mesure de modifier ou supprimer les dossiers. Elle a donc porté plainte contre l’hôpital Nord de Marseille pour violation du secret professionnel.
L’enquête a permis d’identifier un médecin hospitalier pédiatre comme étant la responsable de la mise en place de la base de données épidémiologiques. Sa finalité était le suivi des bébés prématurés, en vue d’améliorer la collaboration entre les acteurs médicaux pour un partage des informations. La pédiatre avait contacté la société DBSI pour la création du portail de saisie des données et lui avait transmis les données médicales, le tout étant hébergé par une société tierce de Marseille.
source : Legalis | L’actualité du droit des nouvelles technologies https://www.legalis.net September 12, 2017 at 03:28PM