Publicité en cours de chargement...

Publicité en cours de chargement...

RGPD : Un laboratoire d’analyses médicales invoque sa qualité de sous-traitant pour se dédouaner de toute responsabilité

26 sept. 2023 - 11:39,
Tribune - Alexandre FIEVEE, Derriennic Associés
Un patient s’est plaint du non-respect, par un laboratoire d’analyses médicales, de ses obligations au titre du RGPD. En défense, le laboratoire invoquait sa qualité de sous-traitant pour expliquer l’absence d’analyse impact et d’information des patients. Était-ce une bonne stratégie ? 

Les faits se déroulent en Belgique. A plusieurs reprises, un patient a réalisé, à la demande de son médecin, des analyses dans un laboratoire d’analyses médicales. Il est informé que son médecin pourra se procurer les résultats de ses analyses en se connectant sur le serveur de résultats « Cyberlab », accessible depuis le site internet du laboratoire. Constatant que ce serveur n’est pas sécurisé puisqu’accessible au moyen d’un protocole « http », le patient a déposé une plainte auprès de l’autorité de protection des données belge (ci-après l’ « APD »). Il invoquait également, à l’appui de sa plainte, d’autres manquements au RGPD : l’absence d’analyse d’impact (PIA) et l’absence d’information des personnes quant à l’utilisation des données par le laboratoire. Ce dernier contestait toute violation du RGPD, invoquant sa qualité de « sous-traitant ». 

Sur la qualification du laboratoire d’analyses médicales 

La stratégie du laboratoire était simple : puisque tous les manquements qui lui sont reprochés concernent des obligations qui incombent à un responsable du traitement et non à un sous-traitant, il a déclaré à l’autorité de contrôle être un sous-traitant au sens du RGPD. La circonstance selon laquelle les patients étaient envoyés par des médecins – responsables du traitement - devait contribuer, pensait-il, à appuyer sa thèse. Malheureusement, le laboratoire n’a pas réussi à convaincre le Service d’inspection de l’APD. Voyant sa stratégie vouée à l’échec, il a fini par reconnaître, dans ses conclusions de synthèse, sa qualité de responsable du traitement. La Chambre contentieuse, qui n’a pas hésité une seconde, a qualifié la partie défenderesse de responsable du traitement, compte tenu de la détermination, par cette dernière, des finalités et des moyens du traitement. Même si on aurait souhaité que l’APD explique d’avantage son analyse, existait-il réellement un doute sur la qualification de responsable du traitement d’un laboratoire d’analyses médicales, y compris lorsque les analyses sont prescrites par un professionnel de santé ou même adressées par ce dernier au laboratoire ? Non, le doute n’était pas permis. 

Sur le défaut de sécurité du serveur de résultats 

Alors que le serveur de résultats du laboratoire, accessible depuis son site internet, permettait aux médecins d’accéder en temps réel aux résultats et à l’historique des analyses de leurs patients, le Service d’inspection a pu constater, comme le rapportait le plaignant, que ce serveur ne faisait l’objet d’aucun chiffrement puisqu’il utilisait un protocole « http » au lieu d’un protocole « https ». Pour la Chambre contentieuse, l’absence de chiffrement au moment de la plainte constitue une violation du principe d’intégrité et de confidentialité des données, tel que prévu aux articles 5 et 32 du RGPD. 

Sur l’absence d’analyse d’impact 

Après avoir un moment soutenu, comme indiqué supra, qu’il n’était pas tenu de réaliser une analyse d’impact compte tenu de sa qualification de sous-traitant, le laboratoire a, une fois sa qualité de responsable du traitement reconnue, justifié l’absence d’un tel document au motif qu’il n’était pas contraint d’en rédiger un dès lors qu’au moment de la plainte, il ne traitait pas de données personnelles « à grande échelle ». Il reconnaissait, en revanche, que, depuis le COVID-19, le nombre d’analyses avait sensiblement augmenté et qu’il rentrait désormais dans les conditions d’un traitement de données de santé à grande échelle, expliquant ainsi qu’il ait bien réalisé, depuis, une analyse d’impact. 

Selon la Chambre contentieuse, il ne fait aucun doute que la partie défenderesse aurait dû, bien avant le COVID-19 (et donc avant que la plainte ne soit introduite), réaliser une analyse d’impact. En tout de cause, elle aurait dû, ce qu’elle n’a pas fait, documenter les raisons pour lesquelles elle considérait ne pas être tenue de réaliser une telle analyse : « Elle estime qu’elle effectue dorénavant des traitements à grande échelle. La défenderesse aurait dû, sur la base du principe de responsabilité de l’article 24, clarifier son interprétation de la notion de "grande échelle" en indiquant les critères objectifs sur lesquels elle se base pour estimer que ses activités ont fini par entrer dans la catégorie des traitements à grande échelle, alors que selon elle, elles ne remplissaient pas ce critère au départ. »

Sur l’information des patients 

Le dernier grief fait au laboratoire concernait l’absence de politique de protection des données disponible sur son site internet. Pour sa défense, le laboratoire a d’abord invoqué sa qualité de sous-traitant pour expliquer qu’il n’était pas tenu à la moindre obligation d’information à l’égard des patients. Puis, après avoir reconnu l’évidence, il soutenait qu’aucun manquement ne pouvait lui être reproché dès lors qu’un affichage était réalisé dans les centres de prélèvement et que le RGPD n’impose pas qu’une information soit publiée sur le site web. Soulignant que le laboratoire ne rapportait pas la preuve que la politique de protection des données faisait l’objet d’un affichage dans ses centres de prélèvement, la Chambre contentieuse a considéré, qu’en ne publiant pas l’information requise sur son site internet, la partie défenderesse avait violé les articles 12, 13 et 14 du RGPD.

Malgré ces divers manquements, l’APD s’est montrée plutôt clémente en prononçant une amende administrative de 20.000 euros, correspondant à seulement 0,07% du chiffre d’affaires annuel du laboratoire pour l’année 2020[1].


[1] APD, 19 août 2022, 127/2022. 


L'auteur

Alexandre FIEVEE
Avocat associé
Derriennic Associés 


 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Appel à projet cybersécurité : l’ARS Auvergne-Rhône-Alpes soutient l’innovation en établissements de santé

Appel à projet cybersécurité : l’ARS Auvergne-Rhône-Alpes soutient l’innovation en établissements de santé

06 juin 2025 - 18:52,

Actualité

- DSIH

L’Agence régionale de santé Auvergne-Rhône-Alpes lance un appel à projet pour expérimenter des solutions innovantes en cybersécurité dans les établissements sanitaires et médico-sociaux. Les candidatures sont ouvertes jusqu’au 30 juin 2025. L’initiative s’inscrit dans le cadre du programme CaRE, pou...

Illustration Libérer du temps soignant et sécuriser les approvisionnements : deux priorités au cœur de la stratégie logistique de l’Anap

Libérer du temps soignant et sécuriser les approvisionnements : deux priorités au cœur de la stratégie logistique de l’Anap

06 juin 2025 - 18:32,

Actualité

- DSIH

Face aux tensions sur les organisations hospitalières, l’Agence nationale de la performance sanitaire et médico-sociale (Anap) renforce son engagement aux côtés des établissements avec deux outils complémentaires :

Illustration Le Health Data Hub sélectionne huit nouveaux projets pour enrichir sa bibliothèque open source d’algorithmes en santé

Le Health Data Hub sélectionne huit nouveaux projets pour enrichir sa bibliothèque open source d’algorithmes en santé

04 juin 2025 - 13:10,

Communiqué

- Le Health Data Hub

À l’occasion de la Journée de l’open science en santé, organisée ce 4 juin 2025 à PariSanté Campus, le Health Data Hub (HDH) annonce les huit lauréats de la 8e vague de son appel à manifestation d’intérêt (AMI) dédié à la Bibliothèque Ouverte d’Algorithmes en Santé (BOAS). Cet appel à projets, lancé...

Illustration MentalTech, vers un Observatoire français de la e-santé mentale

MentalTech, vers un Observatoire français de la e-santé mentale

02 juin 2025 - 22:20,

Actualité

- Damien Dubois, DSIH

Le 21 mai, le collectif MentalTech a annoncé l’arrivée de dix nouveaux membres et dévoilé sa feuille de route 2025 avec pour ambition de s’affirmer comme l’Observatoire de la e-santé mentale.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.