RGPD : Un laboratoire d’analyses médicales invoque sa qualité de sous-traitant pour se dédouaner de toute responsabilité

Les faits se déroulent en Belgique. A plusieurs reprises, un patient a réalisé, à la demande de son médecin, des analyses dans un laboratoire d’analyses médicales. Il est informé que son médecin pourra se procurer les résultats de ses analyses en se connectant sur le serveur de résultats « Cyberlab », accessible depuis le site internet du laboratoire. Constatant que ce serveur n’est pas sécurisé puisqu’accessible au moyen d’un protocole « http », le patient a déposé une plainte auprès de l’autorité de protection des données belge (ci-après l’ « APD »). Il invoquait également, à l’appui de sa plainte, d’autres manquements au RGPD : l’absence d’analyse d’impact (PIA) et l’absence d’information des personnes quant à l’utilisation des données par le laboratoire. Ce dernier contestait toute violation du RGPD, invoquant sa qualité de « sous-traitant ». 

Sur la qualification du laboratoire d’analyses médicales 

La stratégie du laboratoire était simple : puisque tous les manquements qui lui sont reprochés concernent des obligations qui incombent à un responsable du traitement et non à un sous-traitant, il a déclaré à l’autorité de contrôle être un sous-traitant au sens du RGPD. La circonstance selon laquelle les patients étaient envoyés par des médecins – responsables du traitement - devait contribuer, pensait-il, à appuyer sa thèse. Malheureusement, le laboratoire n’a pas réussi à convaincre le Service d’inspection de l’APD. Voyant sa stratégie vouée à l’échec, il a fini par reconnaître, dans ses conclusions de synthèse, sa qualité de responsable du traitement. La Chambre contentieuse, qui n’a pas hésité une seconde, a qualifié la partie défenderesse de responsable du traitement, compte tenu de la détermination, par cette dernière, des finalités et des moyens du traitement. Même si on aurait souhaité que l’APD explique d’avantage son analyse, existait-il réellement un doute sur la qualification de responsable du traitement d’un laboratoire d’analyses médicales, y compris lorsque les analyses sont prescrites par un professionnel de santé ou même adressées par ce dernier au laboratoire ? Non, le doute n’était pas permis. 

Sur le défaut de sécurité du serveur de résultats 

Alors que le serveur de résultats du laboratoire, accessible depuis son site internet, permettait aux médecins d’accéder en temps réel aux résultats et à l’historique des analyses de leurs patients, le Service d’inspection a pu constater, comme le rapportait le plaignant, que ce serveur ne faisait l’objet d’aucun chiffrement puisqu’il utilisait un protocole « http » au lieu d’un protocole « https ». Pour la Chambre contentieuse, l’absence de chiffrement au moment de la plainte constitue une violation du principe d’intégrité et de confidentialité des données, tel que prévu aux articles 5 et 32 du RGPD. 

Sur l’absence d’analyse d’impact 

Après avoir un moment soutenu, comme indiqué supra, qu’il n’était pas tenu de réaliser une analyse d’impact compte tenu de sa qualification de sous-traitant, le laboratoire a, une fois sa qualité de responsable du traitement reconnue, justifié l’absence d’un tel document au motif qu’il n’était pas contraint d’en rédiger un dès lors qu’au moment de la plainte, il ne traitait pas de données personnelles « à grande échelle ». Il reconnaissait, en revanche, que, depuis le COVID-19, le nombre d’analyses avait sensiblement augmenté et qu’il rentrait désormais dans les conditions d’un traitement de données de santé à grande échelle, expliquant ainsi qu’il ait bien réalisé, depuis, une analyse d’impact. 

Selon la Chambre contentieuse, il ne fait aucun doute que la partie défenderesse aurait dû, bien avant le COVID-19 (et donc avant que la plainte ne soit introduite), réaliser une analyse d’impact. En tout de cause, elle aurait dû, ce qu’elle n’a pas fait, documenter les raisons pour lesquelles elle considérait ne pas être tenue de réaliser une telle analyse : « Elle estime qu’elle effectue dorénavant des traitements à grande échelle. La défenderesse aurait dû, sur la base du principe de responsabilité de l’article 24, clarifier son interprétation de la notion de "grande échelle" en indiquant les critères objectifs sur lesquels elle se base pour estimer que ses activités ont fini par entrer dans la catégorie des traitements à grande échelle, alors que selon elle, elles ne remplissaient pas ce critère au départ. »

Sur l’information des patients 

Le dernier grief fait au laboratoire concernait l’absence de politique de protection des données disponible sur son site internet. Pour sa défense, le laboratoire a d’abord invoqué sa qualité de sous-traitant pour expliquer qu’il n’était pas tenu à la moindre obligation d’information à l’égard des patients. Puis, après avoir reconnu l’évidence, il soutenait qu’aucun manquement ne pouvait lui être reproché dès lors qu’un affichage était réalisé dans les centres de prélèvement et que le RGPD n’impose pas qu’une information soit publiée sur le site web. Soulignant que le laboratoire ne rapportait pas la preuve que la politique de protection des données faisait l’objet d’un affichage dans ses centres de prélèvement, la Chambre contentieuse a considéré, qu’en ne publiant pas l’information requise sur son site internet, la partie défenderesse avait violé les articles 12, 13 et 14 du RGPD.

Malgré ces divers manquements, l’APD s’est montrée plutôt clémente en prononçant une amende administrative de 20.000 euros, correspondant à seulement 0,07% du chiffre d’affaires annuel du laboratoire pour l’année 2020[1].

[1] APD, 19 août 2022, 127/2022. 

L'auteur

Alexandre FIEVEE
Avocat associé
Derriennic Associés