Décision de l’Autoriteit Persoonsgegeven (Pays-Bas) du 26 novembre 2020 contre Stichting OLVG

Un hôpi­tal situé à Amsterdam annonce à l’au­to­rité néer­lan­daise de protec­tion des données (Autoriteit Persoonsgegeven) qu’il a été victime d’une « viola­tion de données », confor­mé­ment à son obli­ga­tion prévue par l’art. 33 par. 1 RGPD d’in­for­mer l’au­to­rité compé­tente lors d’une fuite de données. Concrètement, l’hô­pi­tal trans­met à l’au­to­rité deux rapports de fuite de données concer­nant l’ac­cès du person­nel et des étudiants aux dossiers élec­tro­niques des patients.

L’autorité ouvre alors une enquête pour viola­tion, par l’hô­pi­tal, de la sécu­rité du trai­te­ment au sens de l’art. 32 RGPD. En résumé, elle lui reproche de n’avoir pas prévu une authen­ti­fi­ca­tion à deux facteurs lors­qu’un employé de l’hô­pi­tal voulait accé­der aux dossiers élec­tro­niques des patients. Or l’hô­pi­tal traite des données extrê­me­ment sensibles sur la santé d’en­vi­ron 500’000 patients. Afin de proté­ger ces données de manière adéquate, un système de double authen­ti­fi­ca­tion était nécessaire.

Pour sa défense, l’hô­pi­tal soulève la viola­tion du prin­cipe nemo tene­tur ipsum accu­sare, à savoir le droit de ne pas s’auto-incri­mi­ner (art. 48 de la Charte euro­péenne des droits de l’homme et art. 6 CEDH).

Avant d’ex­po­ser l’ar­gu­ment de l’hô­pi­tal, il convient de rappe­ler la portée de ce prin­cipe ainsi que les obli­ga­tions du respon­sable du trai­te­ment lors­qu’il est victime d’une fuite de données.

Selon la juris­pru­dence de la CourEDH, le droit de ne pas s’auto-incriminer est violé lorsqu’un suspect, qui est menacé de subir des sanc­tions pénales s’il ne colla­bore pas, livre les infor­ma­tions deman­dées ou est puni préci­sé­ment pour avoir refusé de le faire.

En droit euro­péen, lors­qu’un respon­sable découvre qu’il a été victime d’une « viola­tion de données », il doit trans­mettre dans les 72 heures un rapport de la fuite à l’au­to­rité compé­tente (art. 33 par. 1 RGPD). Ce rapport doit décrire la nature de la viola­tion, ses consé­quences probables ainsi que les mesures prises ou que le respon­sable du trai­te­ment propose de prendre pour remé­dier à la viola­tion (art. 33 par. 3 RGPD).

S’il ne respecte pas cette obli­ga­tion, il peut être sanc­tionné d’une amende pouvant s’éle­ver jusqu’à EUR 10’000’000 ou, dans le cas d’une entre­prise, jusqu’à 2 % du chiffre d’af­faires annuel mondial total (art. 83 RGPD).

En l’es­pèce, selon l’hô­pi­tal, l’en­quête a été ouverte unique­ment en raison des rapports de fuite de données, lesquels ont été remis sous la menace d’une peine (art. 33 par. 1 RGPD cum art. 83 RGPD). Or sanc­tion­ner une personne grâce à des docu­ments remis sous la contrainte est contraire au prin­cipe selon lequel personne n’est obligé de s’auto-incriminer.

Même si la juris­pru­dence de la CourEDH recon­naît que le prin­cipe nemo tene­tur ne s’ap­plique pas aux docu­ments exis­tant indé­pen­dam­ment de la volonté de la personne concer­née, les rapports de fuite de données ne consti­tue­raient pas de tels docu­ments selon l’hô­pi­tal. En effet ces rapports auraient été établis préci­sé­ment afin de respec­ter le devoir d’in­for­mer l’au­to­rité de la fuite selon l’art. 33 par. 1 RGPD. Ils ont donc été établis sous la contrainte d’une sanc­tion pénale, à savoir l’amende prévue par l’art. 83 RGPD.

L’autorité néer­lan­daise de protec­tion des données rejette cette argu­men­ta­tion dans la déci­sion commen­tée ici.

Premièrement, elle affirme que les deux rapports de fuite de données ont eu pour seul effet d’inciter l’ouverture d’une enquête contre l’hô­pi­tal. Ils n’ont toute­fois pas servi de moyens de preuve de viola­tion par l’hô­pi­tal de ses obli­ga­tions de sécu­rité du trai­te­ment des données (art. 32 RGPD). Par ailleurs, l’art. 33 par. 5 RGPD prévoit que le respon­sable du trai­te­ment doit docu­men­ter toutes les viola­tions de données. Les rapports de fuite consti­tuent dès lors des docu­ments exis­tant indé­pen­dam­ment de la volonté de la personne concernée.

En outre, l’au­to­rité néer­lan­daise n’a pas formel­le­ment demandé les rapports, même si elle a demandé un complé­ment d’in­for­ma­tion suite au premier rapport. Le simple fait que le cour­rier de l’au­to­rité contienne une réfé­rence au droit de l’au­to­rité d’or­don­ner au respon­sable « de lui commu­ni­quer toute infor­ma­tion dont elle a besoin pour l’ac­com­plis­se­ment de ses missions » (art. 58 par. 1 RGPD) n’y change rien. Les infor­ma­tions n’ont donc pas été obte­nues sous la contrainte.

Enfin, l’au­to­rité souligne que, même si elle devait écar­ter certaines preuves décou­lant du rapport, celui-ci contient des docu­ments qui exis­taient déjà avant le rapport de fuite. Ils consti­tuent en tout état de cause des docu­ments indé­pen­dants. Par la suite, l’au­to­rité a égale­ment recueilli des docu­ments d’employés, auxquels le droit de garder le silence avait été rappelé.

Pour ces diverses raisons, l’au­to­rité néer­lan­daise consi­dère que l’amende infli­gée à l’hô­pi­tal ne contre­vient pas au prin­cipe nemo tene­tur.

Le raison­ne­ment de l’au­to­rité néer­lan­daise est-il entiè­re­ment convain­cant ? Nous avons quelques doutes.

Premièrement, l’hô­pi­tal a été, selon nous, contraint de s’auto-incri­mi­ner. En effet, il n’avait que deux options : soit respec­ter son devoir d’in­for­mer l’au­to­rité de la fuite (art. 33 RGPD), soit violer ce devoir et risquer une amende impor­tante, laquelle doit être consi­dé­rée comme de nature pénale au sens de la juris­pru­dence de la CourEDH (juris­pru­dence Engel c. Pays-Bas). L’hôpital n’a donc pas établi et trans­mis libre­ment le rapport de fuite.

Deuxièmement, l’ex­cep­tion des pre-exis­ting docu­ments (docu­ments exis­tant indé­pen­dam­ment de la volonté de la personne concer­née) est sujette à débat. La juris­pru­dence de la CourEDH recon­naît cette excep­tion pour « les docu­ments recueillis en vertu d’un mandat, les prélè­ve­ments d’haleine, de sang et d’urine ainsi que de tissus corpo­rels en vue d’une analyse de l’ADN » (Saunders c. Royaume-Uni [GC], par. 69). Cette excep­tion est justi­fiée par le fait que l’au­to­rité peut dans tous les cas état saisir ces données, même si le suspect refuse de colla­bo­rer. Il est donc admis que même si l’au­to­rité « contraint » une personne à lui four­nir ces infor­ma­tions, le prin­cipe nemo tene­tur ne s’ap­plique pas pour ces documents.

À notre avis, il n’est pas convain­cant d’ap­pli­quer cette excep­tion aux rapports de fuite de données. En effet, ceux-ci sont établis préci­sé­ment afin d’in­for­mer l’au­to­rité compé­tente, voire les personnes concer­nées, de la fuite. Bien que certains docu­ments du rapport puissent exis­ter avant la fuite, ils ne deviennent inté­res­sants pour l’au­to­rité, et permettent de docu­men­ter la fuite, qu’une fois qu’ils sont liés à d’autres docu­ments. Cet ensemble de docu­ments, et le travail qui est déployé pour établir ce rapport, ne permet donc pas de consi­dé­rer que certains docu­ments, voire le rapport tout entier, consti­tuent des pre-exis­ting docu­ments.

Enfin, il nous parait diffi­ci­le­ment soute­nable de prétendre que l’au­to­rité aurait pu sanc­tion­ner l’hô­pi­tal sans les rapports de fuite de données. En effet, sans une quel­conque infor­ma­tion de la fuite, l’au­to­rité n’au­rait proba­ble­ment jamais examiné si l’hô­pi­tal respec­tait le prin­cipe de la sécu­rité des trai­te­ments de données (art. 32 RGPD).

Notons que le légis­la­teur alle­mand, conscient de ce problème, a préci­sé­ment adopté l’art. 43 al. 4 BDSG afin que le rapport de fuite de données ne puisse pas être exploité par l’au­to­rité de contrôle afin de sanc­tion­ner le respon­sable du traitement.

À notre avis, cette même solu­tion devrait s’im­po­ser aux autres États membres de l’Union euro­péenne. En effet, le fait d’uti­li­ser le rapport de fuite de données contre le respon­sable du trai­te­ment consti­tue une viola­tion de l’art. 48 de la Charte euro­péenne des droits de l’homme et de l’art. 6 CEDH. Ce rapport devrait ainsi toujours être déclaré inex­ploi­table dans une procé­dure visant à sanc­tion­ner le respon­sable du trai­te­ment (art. 83 RGPD).

Qu’en est-il de la situa­tion helvé­tique ? Contrairement à l’avant-projet, la nLPD ne prévoit aucune sanc­tion pénale lors d’une viola­tion du devoir d’in­for­mer le Préposé fédé­ral d’une fuite de données (art. 24 nLPD). L’avant-projet avait d’ailleurs préci­sé­ment été criti­qué sur ce point. Selon nous, notre légis­la­teur a choisi une solu­tion convain­cante à cet égard : selon l’art. 24 al. 6 nLPD, le rapport de fuite ne peut pas être utilisé dans le cadre d’une procé­dure pénale contre la personne tenue d’annoncer la fuite, à moins que celle-ci y donne son consentement.