swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

La mise en place de mesures de sécurité techniques et organisationnelles : not just a checklist !

Zarmine Hussain, le 14 mars 2023
Le Conseil de l’Hôpital de la région d’Uppsala se voit impo­ser une amende admi­nis­tra­tive de SEK 1’600’000 par l’autorité suédoise de protec­tion des données pour viola­tion des exigences de la sécu­rité des données. En cause, la trans­mis­sion par cour­riel de données médi­cales à des desti­na­taires situés dans des pays tiers, ainsi que le stockage de données sensibles sur l’application de messa­ge­rie élec­tro­nique Microsoft Outlook.

L‘affaire suédoise

En date du 7 mai 2019, les auto­ri­tés régio­nales d’Uppsala en Suède ont noti­fié à l’autorité suédoise de protec­tion des données (l’Integritetsskyddsmyndigheten, l’IMY) une viola­tion de données surve­nue dans leur juri­dic­tion en 2019. Sur la base de cette noti­fi­ca­tion, l’IMY a entamé une inves­ti­ga­tion concer­nant la trans­mis­sion de données médi­cales par l’Hôpital Universitaire d’Uppsala (Hôpital) aux patients à l’étranger ainsi qu’aux hôpi­taux étran­gers qui ont référé ces derniers à l’Hôpital. Il sied de préci­ser que l’IMY a choisi d’examiner le cas unique­ment sous l’angle de la confor­mité aux exigences de sécu­rité, sans exami­ner la confor­mité aux dispo­si­tions sur la commu­ni­ca­tion de données person­nelles à l’étranger.

Conformément aux procé­dures internes de l’Hôpital, une fois le trai­te­ment médi­cal d’un patient rési­dant à l’étranger terminé, tant le patient que l’hôpital étran­ger qui avait référé ce dernier à l’Hôpital avaient le choix de rece­voir le rapport médi­cal par cour­riel. Ce dernier compor­tait notam­ment les infor­ma­tions rela­tives à la santé du patient, les coor­don­nées du patient et l’identité du méde­cin trai­tant. L’Hôpital a envoyé envi­ron 500 à 1000 cour­riels mensuels de ce type, concer­nant envi­ron 300 patients par an de 2014 à 2019.

En outre, ces cour­riels étaient envoyés sans chif­fre­ment depuis 2014. Ce n’est qu’en septembre 2019 que l’Hôpital a intro­duit une solu­tion de chif­fre­ment de cour­riels adéquate. Dans l’intervalle, l’Hôpital a activé le para­mètre de chif­fre­ment « Transport Layer Security » (TLS) de l’application de messa­ge­rie élec­tro­nique Microsoft Outlook (Outlook). Toutefois, si le service de messa­ge­rie web du desti­na­taire ne compre­nait pas le TLS, les cour­riels étaient trans­mis au desti­na­taire sans chif­fre­ment. Ainsi, l’Hôpital utili­sait une mesure de chif­fre­ment qui dépen­dait des para­mètres tech­niques du desti­na­taire, de sorte que l’Hôpital ne pouvait pas garan­tir la trans­mis­sion chif­frée du cour­riel et des données person­nelles. Par consé­quent, les données pouvaient être lues en clair, avec pour consé­quence que des personnes non auto­ri­sées pouvaient accé­der aux données sensibles. Par ailleurs, une fois envoyés, les cour­riels, y compris les données médi­cales, demeu­raient sur le compte Outlook de l’Hôpital.

L’IMY relève égale­ment que le gouver­ne­ment local d’Uppsala avait émis une poli­tique concer­nant le trai­te­ment des cour­riels. Il y inter­di­sait spéci­fi­que­ment la commu­ni­ca­tion de données sensibles par cour­riel. Par consé­quent, l’Hôpital était au courant des risques posés par son trai­te­ment de données et a omis d’implémenter les mesures tech­niques et orga­ni­sa­tion­nelles nécessaires.

Par consé­quent, selon l’IMY, compte tenu notam­ment du fait qu’un grand nombre de données person­nelles sensibles ont été expo­sées sur Internet pendant une longue période sans protec­tion contre une divul­ga­tion ou un accès non auto­risé, la viola­tion de la sécu­rité a été d’une nature si grave qu’elle consti­tue non seule­ment une viola­tion de l’art. 32 ch. 1 RGPD, mais égale­ment une viola­tion du prin­cipe de l’assurance de la confi­den­tia­lité et de l’intégrité au sens l’art. 5 ch. 1 let. f RGPD.

Au vu de ce qui précède, l’IMY a imposé une amende de SEK 1’600’000 (équi­valent à envi­ron EUR 150’000) à l’Hôpital.

Analyse sous l’angle du droit suisse

Le point prin­ci­pal du cas précité qui mérite d’être analysé sous l’angle du droit suisse est celui de la déter­mi­na­tion des mesures de sécu­rité appro­priées pour un hôpi­tal univer­si­taire ou toute autre collec­ti­vité publique trai­tant des données sensibles. Bien que les faits du présent cas soulèvent égale­ment des ques­tions rela­tives au secret médi­cal, ces dernières ne seront pas abor­dées dans la présente contribution.

En trans­po­sant les faits en droit suisse, il sied de préci­ser que les trai­te­ments de données person­nelles par des organes canto­naux tels que les hôpi­taux univer­si­taires sont soumis aux légis­la­tions canto­nales sur la protec­tion des données.

À titre illus­tra­tif, les trai­te­ments des données person­nelles effec­tués par les hôpi­taux univer­si­taires de Genève sont notam­ment couverts par la Loi gene­voise du 5 octobre 2001 sur l’information du public, l’accès aux docu­ments et la protec­tion des données person­nelles (LIPAD ; RS/​GE A 2 08) et son Règlement d’application du 21 décembre 2011 (RIPAD ; RS/​GE A 2 08.01). L’application de la légis­la­tion gene­voise en matière de protec­tion des données découle notam­ment de l’art. 3 al. 1 let. d de la Loi gene­voise du 22 septembre 2017 sur l’organisation des insti­tu­tions de droit public (LOIDP ; RS/​GE A 2 24) et l’art. 3 al. 1 let. c LIPAD.

En date du 6 juillet 2022, un avant-projet de loi modi­fiant la LIPAD (AP-LIPAD) a été mis en consul­ta­tion par le Conseil d’État gene­vois jusqu’au 17 octobre 2022. Dans la mesure où – au moment de la rédac­tion de la présente contri­bu­tion – le projet de loi défi­ni­tif n’a pas encore été publié, la présente analyse se fonde unique­ment sur l’AP-LIPAD.

L’AP-LIPAD s’inspire de la nouvelle Loi fédé­rale du 25 septembre 2020 sur la protec­tion des données du 25 septembre 2020 (nLPD) qui, pour rappel, entrera en vigueur le 1er septembre 2023 (cf. www​.swiss​pri​vacy​.law/​168). L’AP-LIPAD a notam­ment pour objec­tif de confé­rer à la loi gene­voise un « niveau de protec­tion adéquat » au sens du RGPD. Par consé­quent, certaines dispo­si­tions étant calquées sur celles de la nLPD, leur inter­pré­ta­tion en est facilitée.

Selon l’art. 37 al. 1 LIPAD, les données person­nelles doivent être proté­gées contre tout trai­te­ment illi­cite par des mesures orga­ni­sa­tion­nelles et tech­niques appro­priées. Selon l’art. 37 al. 2 LIPAD, les insti­tu­tions prennent, par le biais de direc­tives ainsi que de clauses statu­taires ou contrac­tuelles, les mesures néces­saires pour assu­rer la dispo­ni­bi­lité, l’intégrité et la confi­den­tia­lité des données person­nelles qu’elles traitent ou font trai­ter. L’art. 37 LIPAD est précisé par les art. 13 et 13A RIPAD.

L’AP-LIPAD appro­fon­dit les exigences en matière de sécu­rité des données. L’art. 37A AP-LIPAD est globa­le­ment calqué sur l’art. 8 nLPD et maté­ria­lise l’approche fondée sur les risques. En d’autres termes, plus le risque d’une atteinte à la sécu­rité des données est élevé, plus les exigences auxquelles doivent répondre les mesures à prendre le sont égale­ment. Les exigences mini­males en matière de sécu­rité des données seront déter­mi­nées par le Conseil d’État par voie régle­men­taire (art. 37A al. 3 AP-LIPAD). À notre avis, l’on peut raison­na­ble­ment s’attendre à ce que ces exigences mini­males soient calquées sur les exigences de l’art. 3 de l’Ordonnance fédé­rale du 31 août 2022 sur la protec­tion des données (OPDo).

Conformément à l’art. 3 al. 2 let. a OPDo, le respon­sable du trai­te­ment doit, pour assu­rer notam­ment l’intégrité des données person­nelles, prendre des mesures appro­priées afin que les personnes non auto­ri­sées ne puissent pas lire, copier, modi­fier, effa­cer ou détruire des données person­nelles lors de leur communication.

S’agissant spéci­fi­que­ment du secteur médi­cal, il sied égale­ment de rappe­ler que la Loi fédé­rale du 19 juin 2015 sur le dossier élec­tro­nique du patient (LDEP ; RS 816.1), l’Ordonnance du 22 mars 2017 sur le dossier élec­tro­nique du patient (ODEP ; RS 816.11), ainsi que l’Ordonnance du 22 mars 2017 du DFI sur le dossier élec­tro­nique du patient (ODEP-DFI ; RS 816.111), énoncent un certain nombre de règles et d’exigences et tech­niques précises, notam­ment rela­tives au trans­fert des données médi­cales conte­nues dans le dossier élec­tro­nique du patient (cf. art. 10 ODEP) et à la sécu­rité de ces données (cf. notam­ment les art. 10 al. 3 ODEP et 12 ODEP). Dans la mesure où une insti­tu­tion ne serait pas direc­te­ment soumise aux normes préci­tées, ces dernières peuvent néan­moins être utili­sées comme base afin de déter­mi­ner les règles de sécu­rité appro­priées pour la commu­ni­ca­tion élec­tro­nique de données médicales.

Plusieurs ensei­gne­ments nous paraissent pouvoir être tirés du cas suédois faisant l’objet de la présente contribution :

  • Les respon­sables du trai­te­ment devraient faire preuve de proac­ti­vité et anti­ci­per l’inefficacité d’une mesure de chif­fre­ment telle que dans le cas de l’Hôpital suédois, en parti­cu­lier lorsque des données sensibles sont en jeu.
  • Dans l’hypothèse où un établis­se­ment public, qu’il soit médi­cal ou non, instau­re­rait une telle mesure de sécu­rité défaillante, l’on peut s’attendre à ce que cela soit consi­déré notam­ment comme une viola­tion des pres­crip­tions de l’ 37A AP-LIPAD.
  • Dans la mesure où les problèmes de chif­fre­ment rencon­trés par l’Hôpital suédois peuvent surve­nir faci­le­ment, il devrait en règle géné­rale être recom­mandé, comme bonne pratique, que les hôpi­taux (qu’ils soient publics ou privés), ainsi que les autres enti­tés qui traitent des données sensibles, mettent en place un système permet­tant le télé­char­ge­ment à distance des données sensibles par la personne concer­née et/​ou par des tiers auto­ri­sés, confor­mé­ment par exemple aux tendances des initia­tives rela­tives au dossier élec­tro­nique du patient.

À titre d’observation conclu­sive, on relè­vera encore que la déci­sion de l’IMY soulève, à notre sens, une problé­ma­tique fonda­men­tale du droit de la protec­tion des données : le seuil de dili­gence du respon­sable du trai­te­ment. À travers sa déci­sion, l’IMY semble exiger du respon­sable du trai­te­ment de prendre en compte des para­mètres dont il n’a aucune maîtrise et d’anticiper les faiblesses de sa contre­par­tie. En impo­sant une telle dili­gence accrue, on pour­rait s’interroger sur la tendance de déres­pon­sa­bi­li­ser la personne concer­née ainsi que sur l’éventuelle effi­ca­cité d’un cadre régle­men­taire qui semble deve­nir de plus en plus diffi­cile à respec­ter, respec­ti­ve­ment qui engendre des coûts crois­sants, pour les respon­sables du traitement.



Proposition de citation : Zarmine Hussain, La mise en place de mesures de sécurité techniques et organisationnelles : not just a checklist !, 14 mars 2023 in www.swissprivacy.law/208


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Jeu, set et match : tour d’horizon des récentes avancées législatives
  • Peut-on encore, en Suisse, recourir à des services cloud offerts par Microsoft ?
  • Le RGPD s’oppose-t-il à l’obligation de publier sur Internet une déclaration d’intérêts afin de lutter contre…
  • Télémonitoring et données médicales : le casse-tête des professionnels de la santé
Derniers articles
  • Contenu de l’information sur le licenciement d’un employé à l’interne
  • L’administration publique responsable dans l’utilisation de services en nuage
  • Une DPO peut-elle être licenciée pour une raison autre que celle liée à ses qualités professionnelles ?
  • La mise en place de mesures de sécurité techniques et organisationnelles : not just a checklist !
Abonnement à notre newsletter
swissprivacy.law