Ordonnance d’injonction n° 9677521 du Garante per la Protezione dei Data Personali italien du 10 juin 2021

Un patient a dénoncé un dentiste italien qui lui avait fait remplir un ques­tion­naire en vue d’accéder aux services dentaires offerts par son cabi­net. Le ques­tion­naire, distri­bué lors de l’admission du patient, deman­dait, dans le cadre de l’anamnèse géné­rale, d’indiquer si le patient avait ou suspec­tait d’avoir des mala­dies infec­tieuses du type de la tuber­cu­lose, de l’hépatite A, B, ou C, ou du VIH. En remplis­sant le formu­laire, le patient a indi­qué qu’il était séro­po­si­tif. Le méde­cin l’a alors informé qu’il ne pouvait pas four­nir la pres­ta­tion requise, car le diag­nos­tic de séro­po­si­ti­vité ne lui permet­tait pas de préve­nir une éven­tuelle infec­tion du person­nel et des autres patients. Le patient s’est plaint d’un trai­te­ment de données person­nelles contraire aux prin­cipes de bases énon­cés par l’art. 5 RGPD.

L’art. 9 par. 1 RGPD inter­dit par prin­cipe le trai­te­ment de certaines caté­go­ries de données, dont font partie les données de santé. Ces données peuvent néan­moins être trai­tées en présence d’un des motifs énon­cés à l’art. 9 par. 2 RGPD. Parmi ceux-ci figure notam­ment la néces­sité d’un trai­te­ment de données aux fins d’un diag­nos­tic médi­cal ou de la prise en charge sani­taire et sociale (lit. h).

Dans le cadre de son examen, le Garante per la Protezione dei Data Personali (Garante) a constaté la néces­sité de distin­guer deux phases : la phase d’acceptation du trai­te­ment et la phase plus stric­te­ment diag­nos­tique et théra­peu­tique, au cours de laquelle des infor­ma­tions médi­cales sont collec­tées afin de connaître les anté­cé­dents médi­caux du patient et d’identifier le trai­te­ment le plus appro­prié. Dans son argu­men­ta­tion, le dentiste esti­mait que les données du ques­tion­naire rela­tives au VIH étaient collec­tées dans le contexte de la seconde phase, soit la phase diag­nos­tique et thérapeutique.

Pour le Garante, les deux phases ne sont pas forcé­ment faciles à distin­guer. Il recon­naît d’ailleurs que des infor­ma­tions liées à une éven­tuelle infec­tion au VIH peuvent être recueillies au moment de l’instauration de la rela­tion médi­cale si elles sont jugées néces­saires pour déter­mi­ner le type ou le plan de trai­te­ment médi­cal, étant entendu que le patient a toujours la possi­bi­lité de renon­cer à divul­guer certaines infor­ma­tions concer­nant sa santé (en assu­mant les consé­quences poten­tielles de ce renon­ce­ment). Au demeu­rant, le Garante recon­naît qu’il ne lui appar­tient pas de déter­mi­ner quelles infor­ma­tions doivent être recueillies, ces dernières rele­vant d’une appré­cia­tion rela­tive aux sciences médi­cales et non juridique.

Toutefois, aux yeux du Garante, si l’on suit la posi­tion du dentiste, en admet­tant que les données rela­tives au VIH sont trai­tées dans le contexte du trai­te­ment médi­cal, le motif justi­fi­ca­tif du trai­te­ment repo­se­rait sur la pour­suite d’un but de diag­nos­tic médi­cal ou d’une prise en charge sani­taire ou sociale (art. 9 par. 2 lit. h RGPD). Or, en l’espèce, l’activité de trai­te­ment n’avait pas été initiée puisque le dentiste a informé le patient qu’il n’était pas en mesure de four­nir les services médi­caux deman­dés. En l’absence de prise en charge, le motif justi­fi­ca­tif de l’ar. 9 par. 2 lit. h RGPD ne saurait donc être vala­ble­ment invoqué.

Pour le Garante, la collecte n’avait donc pas pour but d’évaluer le meilleur trai­te­ment médi­cal pour le patient en lui offrant le service demandé, mais visait bien plutôt à refou­ler le patient. Il rappelle de surcroît que dans les situa­tions liées au VIH, les opéra­teurs de santé sont de toute manière obli­gés par le droit italien d’adopter les mesures néces­saires pour se prému­nir contre les risques liés au VIH puisqu’ils peuvent être amenés à trai­ter des patients infec­tés par le VIH sans que ces derniers en aient conscience ou qui auraient renoncé à en infor­mer les soignants.

Par consé­quent, le Garante recon­naît que le dentiste a traité des données person­nelles rela­tives à la santé de manière contraire aux prin­cipes géné­raux énon­cés par l’art. 5 RGPD et le condamne à une amende de EUR 20’000.-.

À première vue, cette déci­sion ne manque pas de susci­ter quelques inter­ro­ga­tions puisque le RGPD semble être utilisé à des fins qui semblent a priori étran­gères à la protec­tion des données, en l’occurrence pour servir la cause de l’accès aux soins par des personnes souf­frant de certains types de mala­dies. À bien y réflé­chir, une telle appli­ca­tion du RGPD a cepen­dant du sens puisqu’un trai­te­ment de données person­nelles a pour objec­tif de préve­nir les atteintes aux droits et liber­tés des personnes physiques, parmi lesquelles figurent préci­sé­ment les cas de discri­mi­na­tion (consi­dé­rant 75 RPGD). Ainsi, lorsqu’une collecte de données est utili­sée comme moyen de discri­mi­na­tion, le droit de la protec­tion des données est plei­ne­ment légi­timé à jouer son rôle de préven­tion et de répres­sion à l’encontre des auteurs de la discrimination.

La portée de cette déci­sion doit cepen­dant être limi­tée. Elle a pour objet la restric­tion de l’accès à un service sur la base de la collecte des données qui, en l’occurrence, ne repo­sait sur aucun motif justi­fi­ca­tif valable. Une fois la prise en charge médi­cale initiée, le respon­sable du trai­te­ment peut vala­ble­ment collec­ter et trai­ter des données person­nelles dans la mesure néces­saire à la prise en charge (art. 9 par. 2 let. h RGPD).

Enfin, à la lumière de cette déci­sion, on peut se deman­der si le dentiste (ou tout autre pres­ta­taire de soins) doit reti­rer la ques­tion liti­gieuse du formu­laire ou si cette dernière peut conti­nuer à y figu­rer. Le Garante recon­naît en effet que des infor­ma­tions médi­cales peuvent être collec­tées au moment de l’ins­tau­ra­tion de la rela­tion médi­cale, à des fins de plani­fi­ca­tion par exemple. En pratique, il est par ailleurs courant que la collecte d’in­for­ma­tions liées à l’ins­tau­ra­tion de la rela­tion médi­cale (infor­ma­tions admi­nis­tra­tives) se confonde avec celle qui vise à déter­mi­ner l’état de santé du patient (ex.: anté­cé­dents). Afin d’évi­ter une augmen­ta­tion infon­dée de la charge admi­nis­tra­tive, il faut certai­ne­ment admettre que le pres­ta­taire de soins peut lici­te­ment collec­ter des infor­ma­tions de nature aussi bien admi­nis­tra­tive que médi­cale au début d’une nouvelle rela­tion, sans distin­guer formel­le­ment la phase d’ac­cep­ta­tion de la rela­tion médi­cale et la phase diag­nos­tique ou théra­peu­tique. Cependant, le pres­ta­taire qui utili­se­rait les données rela­tives à la santé à des fins discri­mi­na­toire s’ex­po­se­rait alors possi­ble­ment à une double sanc­tion, à savoir une sanc­tion pour l’uti­li­sa­tion abusive des données et une sanc­tion liée à la discri­mi­na­tion commise (pour autant qu’elle soit punis­sable à la lumière du droit applicable).