Covid-19 : le prétexte pour se relâcher en matière de protection des données ?
28 avril 2020 - 10:13,
Tribune
- Charles Blanc-Rolin & Me Omar YahiaAlors que certains voisins te regardent de travers quand tu rentres du travail parce qu’ils savent que tu bosses dans un établissement de santé, alors que certains gendarmes reculent de trois pas quand tu présentes une attestation dérogatoire sur papier à en-tête de ton hôpital, alors que l’annonce de l’application StopCovid est déjà controversée, Stéphane Richard, PDG du groupe Orange se targue d’avoir une application déjà prête, alors que l’Inria n’a pas terminé le développement de l’application gouvernementale [2] et que La Quadrature du Net démontre les risques d’une telle application sur nos libertés pour des résultats très discutables [3]. Il serait effectivement très difficile de la rendre obligatoire sans voir le consentement rendu non libre et par conséquent nul, sans oublier que tout un chacun ne dispose pas forcément d’un smartphone… </humour_noir> Dans ce cas, pourquoi ne pas réfléchir au port d’un bracelet électronique – certains l’ont déjà mis en place en Corée du Sud et le testent en Belgique [4] – ou encore adopter un marquage sur les vêtements, brillante idée déjà imaginée par un petit moustachu il y a près de 90 ans pour distinguer les différentes catégories de prisonniers [5] ? </humour_noir>
Je ne suis pas convaincu que le numérique puisse nous sauver, et je préfère m’en remettre aux professionnels de santé que nous continuons d’accompagner en tentant de limiter les risques liés aux outils numériques que nous leur avons mis entre les mains.
Parmi ces risques, les mauvais usages des outils évidemment, facilitant la mise en œuvre de traitements de données parfois plus que « border lines ».
Dans les lignes qui suivent, Me Omar Yahia nous apporte son éclairage sur la question de la protection des données de santé à caractère personnel appliquée à la pandémie de Covid-19.
Charles Blanc-Rolin : Maître, la situation que nous vivons nous permet-elle de justifier la mise en place de tous ces nouveaux traitements, dont la plupart des DPO Santé n’ont pas été informés ?
Prenons par exemple le cas de ce traitement mis en place par plusieurs médecins libéraux : une liste de patients atteints par le Covid-19, en « accès libre » sur le Web puisqu’une simple inscription à l’aide d’un pseudonyme suffit pour accéder à l’ensemble des données médicales.
Les données sont stockées aux États-Unis sur un Cloud public, et non sur un serveur certifié HDS.
Pour ce qui est du consentement des patients, n’en parlons même pas…
La protection de ces données est impossible à assurer dans la mesure où n’importe qui peut les lire, les modifier ou encore les supprimer de façon anonyme. Si l’on prend les critères DICP [6], autant dire que l’on a tout faux…
La Cnil a très rapidement fait fermer ce site Web, et même si ce traitement n’a pas été mis en place avec une volonté de nuire, pouvez-vous nous dire quels sont les risques encourus par le responsable de ce traitement ?
Omar Yahia : Une pépite ! Un tel traitement viole tellement de dispositions légales et réglementaires qu’un seul article n’y suffirait pas. Rappelons seulement que le traitement de données personnelles relatives à la santé est par principe interdit (article 9.1 du RGPD). Certes, des dérogations existent.
Si des médecins libéraux peuvent traiter les données de santé relatives à leurs patients (hors le consentement de l’intéressé), c’est uniquement pour respecter une obligation légale à laquelle ils sont soumis (le dossier patient par exemple, prévu par l’article R. 4127-45 du Code de la santé publique pour les professionnels de santé).
Ajoutons qu’un traitement de données personnelles n’est licite qu’au regard d’une finalité déterminée, explicite et légitime. On peut s’interroger sur la finalité du traitement que vous évoquez…
S’agissant des sanctions, elles sont nombreuses. Rappelons simplement que, hors les cas prévus par la loi, le fait de mettre ou de conserver en mémoire informatique, sans le consentement exprès de l’intéressé, des données relatives à la santé, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende (article 226-16-1 du Code pénal)… sans compter les sanctions déontologiques auxquelles le médecin s’exposerait.
CBR : Il s’agit bien évidemment d’un cas extrême. Pour reprendre le titre d’un film de Claude Zidi, nous avons ici « la totale » puisqu’il viole plusieurs articles du RGPD et du Code de la santé publique.
Si je me place à l’échelle d’un GHT, ou même d’un établissement de santé, les exceptions sont prévues aux articles 6.1 (d, e et f) [7] ou 9.2 (c et i) [8] du RGPD et à son considérant 46 [9], qui énonce :
« Certains types de traitement peuvent être justifiés à la fois par des motifs importants d’intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation […]. »
Puis-je ainsi me permettre de mettre en place un traitement dont la finalité est de recenser tous les patients infectés par le virus au sein de mon établissement, dans un tableur, même si toutes ces données sont déjà présentes dans mon DPI ? D’ailleurs, peut-on considérer comme une finalité le fait de recenser les patients atteints du Covid-19 ?
OY : Comme vous l’indiquez, la mise en œuvre d’un traitement de données à caractère personnel suppose de s’interroger sur sa finalité dont les caractéristiques ont été rappelées. Or, quelle est celle de votre tableur Excel ?
Si la finalité est la prise en charge médicale du patient, il me semble qu’il appartient au DPI, qui doit présenter toutes les garanties en matière de sécurité et de confidentialité des données de santé des patients, de remplir cet office.
Pourquoi le Covid-19 devrait-il recevoir un traitement différencié, au strict plan du recueil et du traitement des données ?
Si la finalité réside dans la remontée des informations à l’ARS à des fins statistiques, de suivi sanitaire et de lutte contre la pandémie, c’est l’article L. 6113-8 du Code de la santé publique et ses dispositions réglementaires qui s’appliquent (notamment l’arrêté du 23 décembre 2016 modifié relatif au recueil et au traitement des données d’activité médicale produites par les établissements de santé), et ce d’autant que l’arrêté du 23 mars 2020, complété par celui du 21 avril 2020, a habilité le GIP « Plateforme de données de santé » et la Cnam à recueillir une dizaine de catégories de données de santé à caractère personnel concernant le Covid-19.
L’ Atih a même mis à jour les consignes de codage PMSI pour permettre aux établissements de valoriser leur activité du fait de l’admission de patients atteints de ce virus.
Deux interrogations me viennent à l’esprit :
N’est-il pas possible de recueillir les données directement depuis le DPI, la plupart d’entre eux permettant de « requêter » la base de données ?
Mais plus encore, pour quelle raison cette finalité nécessite-t-elle le traitement de données personnelles ? À écouter le compte rendu quotidien du directeur général de la Santé, les informations dont il a besoin se limitent au nombre de patients ayant consulté, les cas suspectés et confirmés, l’admission dans un service, l’évolution de la maladie, les tranches d’âge, le sexe ou encore les causes de comorbidité.
Admettons que le suivi et la lutte contre la pandémie nécessitent la collecte d’autres informations à caractère médical, quelle est la nécessité de traiter des données de santé à caractère personnel ?
À titre anecdotique, j’ai interrogé un médecin responsable d’une maison de santé à qui l’ARS a demandé de consacrer une partie de ses moyens matériels et humains à un « centre Covid-19 ».
Il m’a confirmé que le compte rendu adressé chaque jour à l’ARS ne nécessitait nullement la communication de données de santé à caractère personnel.
L’un de nos lecteurs pourra peut-être nous en dire plus mais, à ce stade, le tableur Excel dont vous faites état semble bien constituer un traitement non conforme à la réglementation sur la protection des données personnelles à plus d’un titre.
CBR : Un tableur, dont les accès peuvent être limités aux personnes autorisées via des droits NTFS par exemple, me semble être un mécanisme un peu trop léger pour garantir la sécurité des données. En effet, il est difficile d’assurer une traçabilité exhaustive des accès, dans la mesure où seul le nom du créateur du fichier et de la dernière personne à l’avoir modifié apparaissent dans les métadonnées, lesquelles, qui plus est, sont modifiables et effaçables par tout détenteur des droits d’écriture sur le fichier. Le risque serait d’autant plus grand si le fichier venait notamment à être copié sur une clé USB ou envoyé par courriel. Nous perdrions alors totalement le contrôle sur la confidentialité des données et la traçabilité des accès permettant de prévenir les accès et les transferts illicites, telle qu’imposée à l’article 23.2 du RGPD [10]. Qu’en pensez-vous Maître ?
OY : Ainsi décrit, je vous confirme que ce traitement ne satisfait pas à la principale obligation du responsable de traitement qui consiste à mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au RGPD, compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les droits et les libertés des personnes (article 24 du RGPD).
CBR : Ce traitement expose également à un risque sérieux en matière d’intégrité des données, puisque nous ne saurons pas réellement s’il a été modifié, quand et par qui. Le fichier n’étant pas interfacé avec la GAM/GAP, il semble aussi présenter de grandes faiblesses en termes d’identitovigilance. De plus, un fichier volumineux avec une ligne par patient augmente considérablement le risque d’erreur. L’idée d’utiliser un tableur dans l’urgence engendrée par cette situation sans précédent semble définitivement ne pas être la bonne. Mais cette situation inédite pourra-t-elle être un argument de défense en cas violation de données mise en lumière dans six mois, un an ou plus ?
OY : En aucun cas. Rappelons que dans l’hypothèse d’un examen par l’autorité de contrôle ou lors de poursuites consécutives à la violation de données personnelles, les manquements du responsable de traitement seront appréciés au regard des critères édictés notamment par la réglementation sur la protection des données personnelles et le Code de la santé publique.
Il faudrait déterminer, en l’espèce, quelle obligation mise à la charge de l’établissement nécessite la mise en œuvre du traitement de données de santé à caractère personnel que vous décrivez, et en quoi cette obligation ne peut être satisfaite par l’usage d’outils existants présentant les garanties exigées par la réglementation.
Bien qu’elle soit grave et préoccupante, la situation sanitaire ne saurait justifier a posteriori la violation d’une législation dont l’objet est précisément de garantir un haut niveau de protection des données à caractère personnel dans l’ensemble de l’Union européenne.
Les nombreux débats autour de l’application « StopCovid » que le gouvernement envisage de mettre en œuvre en sont un exemple.
CBR : Pour aller un peu plus loin, si demain l’équipe de direction de mon établissement souhaite accéder à ces données de santé, puis-je considérer qu’elle fait partie de l’équipe de soins au sens de l’article L. 1110-12 du Code de la santé publique et qu’elle peut donc y avoir légalement accès ?
OY : L’équipe de soins est un ensemble de professionnels qui participent directement au profit d’un même patient à la réalisation d’un acte diagnostique, thérapeutique, de compensation du handicap, de soulagement de la douleur, de prévention de perte d’autonomie ou encore aux actions nécessaires à la coordination de plusieurs de ces actes.
La direction d’un établissement ne participant pas directement à la prise en charge médicale du patient ou à la coordination de celle-ci, comment justifier qu’elle puisse accéder aux données de santé à caractère personnel des patients ? Si l’on comprend évidemment le besoin d’une direction de disposer d’informations précises concernant la gestion de son établissement, des données anonymisées sont suffisantes.
CBR : En poussant la réflexion encore plus loin, puisque plusieurs professionnels de santé, un peu partout dans le monde, ont été contaminés et qu’ils ont été dépistés bien souvent au sein de l’établissement dans lequel ils exercent, la Direction des ressources humaines, pourrait-elle, là encore sous couvert des exceptions prévues aux articles 23.1, 6.1, 9.2 et au considérant 46 du RGPD, mettre en place une liste de tous les personnels ayant été touchés par le virus ? Si oui, qui aurait le droit d’y accéder ? DRH ? Chef de service ? Collègues ?
OY : Un tel traitement ne paraît pas conforme à la législation. Une nouvelle fois, interrogeons-nous sur sa finalité.
On imagine aisément que la DRH puisse avoir besoin de cette information pour gérer les avis d’interruption de travail du personnel de l’établissement et les conditions de sa reprise d’activité, par exemple.
Le chef de service est certainement légitime à disposer de cette information pour organiser le fonctionnement de son service et prendre les mesures de protection de l’intéressé, de ses collègues et des patients.
Mais pourquoi cette information aurait-elle besoin de figurer dans une « liste » ?
Le service RH dispose d’un dossier administratif individuel pour chaque salarié, tenu dans un logiciel spécifique qui présente des garanties de sécurité autrement plus sérieuses qu’une « liste ».
Je suppose que le chef de service n’a probablement besoin de connaître l’état de santé que des personnels de son service et non de tout l’établissement.
La direction, quant à elle, évidemment légitime à obtenir les informations requises pour la gestion de l’établissement, peut les obtenir auprès de la DRH. Mais ne peut-elle se satisfaire de données anonymisées ?
[2] https://www.lefigaro.fr/secteur/high-tech/stephane-richard-est-en-faveur-du-tracing-20200417
[3] https://www.laquadrature.net/2020/04/14/nos-arguments-pour-rejeter-stopcovid/
[5] https://fr.wikipedia.org/wiki/Syst%C3%A8me_de_marquage_nazi_des_prisonniers
[6] https://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_des_syst%C3%A8mes_d%27information
[7] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article6
[8] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article9
[9] https://donnees-rgpd.fr/rgpd-texte/considerants/
[10] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article23