Une pédiatre de l’AP-HM condamnée pour traitement illicite de données de santé
MARSEILLE, 18 septembre 2017 (TICsanté) – Une pédiatre de l’Assistance publique-hôpitaux de Marseille (AP-HM) a été condamnée en juin dernier à 5.000 euros d’amende par le tribunal de grande instance (TGI) pour avoir mis en oeuvre un traitement de données à caractère personnel sans autorisation de la Commission nationale informatique et libertés (Cnil), a relayé le 12 septembre le site d’information Legalis.
Le jugement a fait suite au dépôt d’une plainte pour violation du secret professionnel à l’encontre de l’hôpital Nord de Marseille en 2013, par une femme ayant accouché 5 ans auparavant dans l’établissement.
En tapant son nom sur le moteur de recherche Google, la patiente avait eu accès au dossier de naissance de son fils comprenant des informations sur l’état de santé du bébé, des observations médicales, ainsi que son numéro de sécurité sociale et d’autres dossiers médicaux.
La fuite de ces données est liée à la mise en place d’une base de données épidémiologiques pour le suivi des bébés prématurés visant le partage d’information entre professionnels de santé, « notamment en cas de transfert vers d’autres hôpitaux », et l’évaluation du service de néonatologie de l’hôpital, détaille la décision du TGI de Marseille mise en ligne par le site Legalis.
La pédiatre de l’AP-HM a reconnu avoir été à l’origine de la mise en place de cette base de données, qui n’a pas fait l’objet d’une autorisation délivrée par la Cnil.
Elle avait contacté la société DBSI afin de créer un portail de saisie des données sur internet, et transmis à la société les données médicales.
Le portail de saisie créé par DBSI était hébergé sur le site d’hébergement DS Analy6, un prestataire qui n’était pas agréé pour l’hébergement des données de santé.
Le gérant de la société DBSI, contre lequel l’AP-HM a porté plainte, a été relaxé car le tribunal a estimé qu’il n’était pas le responsable du traitement des données et de leur hébergement, et que les dispositions légales « ne sanctionnent en aucun cas le fait d’avoir fait héberger des données de santé par un hébergeur non agréé ».
Egalement entendu par le TGI, le directeur des systèmes d’information et de l’organisation (DSIO) de l’AP-HM a affirmé ne pas avoir participé à la demande de développement et d’hébergement pour la mise en place de la base de données.
Il a expliqué que la pédiatre avait bien un projet de développement d’un système informatique visant à collecter des données sur des grossesses, « mais que son service n’y a finalement pas donné suite, n’ayant ni le temps, ni les ressources nécessaires ».
Le TGI a donc jugé qu’il n’a pas eu connaissance de l’externalisation effective des données médicales, et de leur hébergement chez un hébergeur non agréé.
source : http://www.ticsante.com/story.php?story=3701&mjeton=alWUytSXA2UIydScp1UsaTPyV0YCryKxLofVKZ8tvSzeWoFwC3N7WVv3OH0f1wCrbDEcTxynjsJ1PUQqDRUcK4rmrJDDvdmF&owner=3851997