L‘affaire suédoise

En date du 7 mai 2019, les auto­ri­tés régio­nales d’Uppsala en Suède ont noti­fié à l’autorité suédoise de protec­tion des données (l’Integritetsskyddsmyndigheten, l’IMY) une viola­tion de données surve­nue dans leur juri­dic­tion en 2019. Sur la base de cette noti­fi­ca­tion, l’IMY a entamé une inves­ti­ga­tion concer­nant la trans­mis­sion de données médi­cales par l’Hôpital Universitaire d’Uppsala (Hôpital) aux patients à l’étranger ainsi qu’aux hôpi­taux étran­gers qui ont référé ces derniers à l’Hôpital. Il sied de préci­ser que l’IMY a choisi d’examiner le cas unique­ment sous l’angle de la confor­mité aux exigences de sécu­rité, sans exami­ner la confor­mité aux dispo­si­tions sur la commu­ni­ca­tion de données person­nelles à l’étranger.

Conformément aux procé­dures internes de l’Hôpital, une fois le trai­te­ment médi­cal d’un patient rési­dant à l’étranger terminé, tant le patient que l’hôpital étran­ger qui avait référé ce dernier à l’Hôpital avaient le choix de rece­voir le rapport médi­cal par cour­riel. Ce dernier compor­tait notam­ment les infor­ma­tions rela­tives à la santé du patient, les coor­don­nées du patient et l’identité du méde­cin trai­tant. L’Hôpital a envoyé envi­ron 500 à 1000 cour­riels mensuels de ce type, concer­nant envi­ron 300 patients par an de 2014 à 2019.

En outre, ces cour­riels étaient envoyés sans chif­fre­ment depuis 2014. Ce n’est qu’en septembre 2019 que l’Hôpital a intro­duit une solu­tion de chif­fre­ment de cour­riels adéquate. Dans l’intervalle, l’Hôpital a activé le para­mètre de chif­fre­ment « Transport Layer Security » (TLS) de l’application de messa­ge­rie élec­tro­nique Microsoft Outlook (Outlook). Toutefois, si le service de messa­ge­rie web du desti­na­taire ne compre­nait pas le TLS, les cour­riels étaient trans­mis au desti­na­taire sans chif­fre­ment. Ainsi, l’Hôpital utili­sait une mesure de chif­fre­ment qui dépen­dait des para­mètres tech­niques du desti­na­taire, de sorte que l’Hôpital ne pouvait pas garan­tir la trans­mis­sion chif­frée du cour­riel et des données person­nelles. Par consé­quent, les données pouvaient être lues en clair, avec pour consé­quence que des personnes non auto­ri­sées pouvaient accé­der aux données sensibles. Par ailleurs, une fois envoyés, les cour­riels, y compris les données médi­cales, demeu­raient sur le compte Outlook de l’Hôpital.

L’IMY relève égale­ment que le gouver­ne­ment local d’Uppsala avait émis une poli­tique concer­nant le trai­te­ment des cour­riels. Il y inter­di­sait spéci­fi­que­ment la commu­ni­ca­tion de données sensibles par cour­riel. Par consé­quent, l’Hôpital était au courant des risques posés par son trai­te­ment de données et a omis d’implémenter les mesures tech­niques et orga­ni­sa­tion­nelles nécessaires.

Par consé­quent, selon l’IMY, compte tenu notam­ment du fait qu’un grand nombre de données person­nelles sensibles ont été expo­sées sur Internet pendant une longue période sans protec­tion contre une divul­ga­tion ou un accès non auto­risé, la viola­tion de la sécu­rité a été d’une nature si grave qu’elle consti­tue non seule­ment une viola­tion de l’art. 32 ch. 1 RGPD, mais égale­ment une viola­tion du prin­cipe de l’assurance de la confi­den­tia­lité et de l’intégrité au sens l’art. 5 ch. 1 let. f RGPD.

Au vu de ce qui précède, l’IMY a imposé une amende de SEK 1’600’000 (équi­valent à envi­ron EUR 150’000) à l’Hôpital.

Analyse sous l’angle du droit suisse

Le point prin­ci­pal du cas précité qui mérite d’être analysé sous l’angle du droit suisse est celui de la déter­mi­na­tion des mesures de sécu­rité appro­priées pour un hôpi­tal univer­si­taire ou toute autre collec­ti­vité publique trai­tant des données sensibles. Bien que les faits du présent cas soulèvent égale­ment des ques­tions rela­tives au secret médi­cal, ces dernières ne seront pas abor­dées dans la présente contribution.

En trans­po­sant les faits en droit suisse, il sied de préci­ser que les trai­te­ments de données person­nelles par des organes canto­naux tels que les hôpi­taux univer­si­taires sont soumis aux légis­la­tions canto­nales sur la protec­tion des données.

À titre illus­tra­tif, les trai­te­ments des données person­nelles effec­tués par les hôpi­taux univer­si­taires de Genève sont notam­ment couverts par la Loi gene­voise du 5 octobre 2001 sur l’information du public, l’accès aux docu­ments et la protec­tion des données person­nelles (LIPAD ; RS/​GE A 2 08) et son Règlement d’application du 21 décembre 2011 (RIPAD ; RS/​GE A 2 08.01). L’application de la légis­la­tion gene­voise en matière de protec­tion des données découle notam­ment de l’art. 3 al. 1 let. d de la Loi gene­voise du 22 septembre 2017 sur l’organisation des insti­tu­tions de droit public (LOIDP ; RS/​GE A 2 24) et l’art. 3 al. 1 let. c LIPAD.

En date du 6 juillet 2022, un avant-projet de loi modi­fiant la LIPAD (AP-LIPAD) a été mis en consul­ta­tion par le Conseil d’État gene­vois jusqu’au 17 octobre 2022. Dans la mesure où – au moment de la rédac­tion de la présente contri­bu­tion – le projet de loi défi­ni­tif n’a pas encore été publié, la présente analyse se fonde unique­ment sur l’AP-LIPAD.

L’AP-LIPAD s’inspire de la nouvelle Loi fédé­rale du 25 septembre 2020 sur la protec­tion des données du 25 septembre 2020 (nLPD) qui, pour rappel, entrera en vigueur le 1^er septembre 2023 (cf. www​.swiss​pri​vacy​.law/​168). L’AP-LIPAD a notam­ment pour objec­tif de confé­rer à la loi gene­voise un « niveau de protec­tion adéquat » au sens du RGPD. Par consé­quent, certaines dispo­si­tions étant calquées sur celles de la nLPD, leur inter­pré­ta­tion en est facilitée.

Selon l’art. 37 al. 1 LIPAD, les données person­nelles doivent être proté­gées contre tout trai­te­ment illi­cite par des mesures orga­ni­sa­tion­nelles et tech­niques appro­priées. Selon l’art. 37 al. 2 LIPAD, les insti­tu­tions prennent, par le biais de direc­tives ainsi que de clauses statu­taires ou contrac­tuelles, les mesures néces­saires pour assu­rer la dispo­ni­bi­lité, l’intégrité et la confi­den­tia­lité des données person­nelles qu’elles traitent ou font trai­ter. L’art. 37 LIPAD est précisé par les art. 13 et 13A RIPAD.

L’AP-LIPAD appro­fon­dit les exigences en matière de sécu­rité des données. L’art. 37A AP-LIPAD est globa­le­ment calqué sur l’art. 8 nLPD et maté­ria­lise l’approche fondée sur les risques. En d’autres termes, plus le risque d’une atteinte à la sécu­rité des données est élevé, plus les exigences auxquelles doivent répondre les mesures à prendre le sont égale­ment. Les exigences mini­males en matière de sécu­rité des données seront déter­mi­nées par le Conseil d’État par voie régle­men­taire (art. 37A al. 3 AP-LIPAD). À notre avis, l’on peut raison­na­ble­ment s’attendre à ce que ces exigences mini­males soient calquées sur les exigences de l’art. 3 de l’Ordonnance fédé­rale du 31 août 2022 sur la protec­tion des données (OPDo).

Conformément à l’art. 3 al. 2 let. a OPDo, le respon­sable du trai­te­ment doit, pour assu­rer notam­ment l’intégrité des données person­nelles, prendre des mesures appro­priées afin que les personnes non auto­ri­sées ne puissent pas lire, copier, modi­fier, effa­cer ou détruire des données person­nelles lors de leur communication.

S’agissant spéci­fi­que­ment du secteur médi­cal, il sied égale­ment de rappe­ler que la Loi fédé­rale du 19 juin 2015 sur le dossier élec­tro­nique du patient (LDEP ; RS 816.1), l’Ordonnance du 22 mars 2017 sur le dossier élec­tro­nique du patient (ODEP ; RS 816.11), ainsi que l’Ordonnance du 22 mars 2017 du DFI sur le dossier élec­tro­nique du patient (ODEP-DFI ; RS 816.111), énoncent un certain nombre de règles et d’exigences et tech­niques précises, notam­ment rela­tives au trans­fert des données médi­cales conte­nues dans le dossier élec­tro­nique du patient (cf. art. 10 ODEP) et à la sécu­rité de ces données (cf. notam­ment les art. 10 al. 3 ODEP et 12 ODEP). Dans la mesure où une insti­tu­tion ne serait pas direc­te­ment soumise aux normes préci­tées, ces dernières peuvent néan­moins être utili­sées comme base afin de déter­mi­ner les règles de sécu­rité appro­priées pour la commu­ni­ca­tion élec­tro­nique de données médicales.

Plusieurs ensei­gne­ments nous paraissent pouvoir être tirés du cas suédois faisant l’objet de la présente contribution :

• Les respon­sables du trai­te­ment devraient faire preuve de proac­ti­vité et anti­ci­per l’inefficacité d’une mesure de chif­fre­ment telle que dans le cas de l’Hôpital suédois, en parti­cu­lier lorsque des données sensibles sont en jeu.
• Dans l’hypothèse où un établis­se­ment public, qu’il soit médi­cal ou non, instau­re­rait une telle mesure de sécu­rité défaillante, l’on peut s’attendre à ce que cela soit consi­déré notam­ment comme une viola­tion des pres­crip­tions de l’ 37A AP-LIPAD.
• Dans la mesure où les problèmes de chif­fre­ment rencon­trés par l’Hôpital suédois peuvent surve­nir faci­le­ment, il devrait en règle géné­rale être recom­mandé, comme bonne pratique, que les hôpi­taux (qu’ils soient publics ou privés), ainsi que les autres enti­tés qui traitent des données sensibles, mettent en place un système permet­tant le télé­char­ge­ment à distance des données sensibles par la personne concer­née et/​ou par des tiers auto­ri­sés, confor­mé­ment par exemple aux tendances des initia­tives rela­tives au dossier élec­tro­nique du patient.

À titre d’observation conclu­sive, on relè­vera encore que la déci­sion de l’IMY soulève, à notre sens, une problé­ma­tique fonda­men­tale du droit de la protec­tion des données : le seuil de dili­gence du respon­sable du trai­te­ment. À travers sa déci­sion, l’IMY semble exiger du respon­sable du trai­te­ment de prendre en compte des para­mètres dont il n’a aucune maîtrise et d’anticiper les faiblesses de sa contre­par­tie. En impo­sant une telle dili­gence accrue, on pour­rait s’interroger sur la tendance de déres­pon­sa­bi­li­ser la personne concer­née ainsi que sur l’éventuelle effi­ca­cité d’un cadre régle­men­taire qui semble deve­nir de plus en plus diffi­cile à respec­ter, respec­ti­ve­ment qui engendre des coûts crois­sants, pour les respon­sables du traitement.