Condamnation pénale d’un pédiatre pour le traitement de données de santé

MACSF Exercice Professionnel
Notre expertise sur la responsabilité médicale
       et votre exercice professionnel

Condamnation pénale d’un pédiatre pour le traitement de données de santé sans autorisation

  • Réduire le texte de la page
  • Agrandir le texte de la page
  • Facebook
  • Twitter
  • Imprimer la page

De bonnes raisons peuvent encourager un médecin à constituer une base de données : améliorer le suivi et la prise en charge des patients, faciliter les échanges entre professionnels, etc. Mais le médecin qui met en place un tel dispositif doit être prudent. Il doit notamment s’interroger sur la réglementation applicable et faire appel à des professionnels agréés, sans quoi il s’expose à des sanctions. Un jugement du Tribunal de grande instance de Marseille du 7 juin 2017 illustre bien cette problématique.

Auteur : Aline TESSIER, Juriste / MAJ : 29/10/2018

Une fuite de données médicales

En février 2013, une femme, par curiosité, tape son prénom et son nom sur le moteur de recherche Google. Un résultat s’affiche, accompagné de son numéro de sécurité sociale (sans la clé), et de la mention « dossier enfant ». Intriguée, elle clique sur le résultat. Elle arrive sur un site qui comporte des noms et des prénoms, précédés d’un numéro de sécurité sociale.

En cliquant sur son nom, le dossier de naissance de son fils, né il y a cinq ans dans un hôpital marseillais, est apparu. L’internaute s’aperçoit qu’elle a aussi accès aux autres dossiers du site et qu’elle peut les modifier ou les supprimer.

Elle décide de porter plainte contre l’établissement où est né son fils pour violation du secret professionnel.

L’absence de conformité de la base de données

Une enquête interne est diligentée au sein de l’hôpital. Une pédiatre est identifiée comme responsable de la base de données.

Elle explique avoir créé une base de données épidémiologiques pour le suivi des bébés prématurés afin « d’améliorer la collaboration entre les acteurs médicaux grâce à un partage d’informations, notamment en cas de transfert vers d’autres hôpitaux ». Elle ajoute que celle-ci avait également pour but d’évaluer le service de néonatalogie de l’hôpital. Les informations contenues dans cette base devaient être à l’usage unique des professionnels médicaux.

Mais la pédiatre admet qu’elle n’avait pas reçu l’autorisation de la Commission Nationale de l’Informatique et des Libertés (CNIL) pour la mise en place de la base de données.

Elle a contacté une société pour la construction d’un portail de saisie de données sur Internet et lui a transmis les données médicales.

Le logiciel créé par la société était hébergé sur le site d’un prestataire qui n’était pas agréé pour l’hébergement des données de santé.

Le Directeur du Service d’Information et de l’Organisation (SIO) de l’hôpital indique, quant à lui, avoir été informé du souhait de la pédiatre de monter un projet de développement d’un système informatique visant à collecter des données sur des grossesses. Mais il n’y a pas donné suite, faute de temps et de ressources nécessaires.

Une amende de 5 000 euros

Pour avoir fait procéder à un traitement informatisé de données médicales sans autorisation de la CNIL (article 226-17 du Code pénal), la pédiatre est condamnée à 5 000 euros par le Tribunal de grande instance de Marseille.

Le gérant de la société, contre lequel l’hôpital a porté plainte, est relaxé. En effet, il n’est pas le responsable du traitement et de l’hébergement des données. De plus, l’article L. 1115-1 du Code de la santé publique, qui sanctionne le fait d’héberger des données de santé sans être titulaire de l’agrément prévu par l’article L. 1111-8 du Code précité, ne sanctionne pas le fait d’avoir fait héberger les données de santé par un hébergeur non agréé.

Quant au Directeur du SIO, le Tribunal considère qu’aucun élément ne vient contredire ses affirmations selon lesquelles il n’a pas eu connaissance de l’externalisation effective des données médicales et de leur hébergement chez un hébergeur non agréé. En conséquence, il y a lieu également de le relaxer.