Le Tribunal canto­nal fribour­geois a jugé qu’un membre du person­nel soignant d’un hôpi­tal qui accé­dait sans droit à un dossier médi­cal d’une patiente ne se rendait pas coupable d’une infrac­tion de sous­trac­tion de données au sens de l’art. 179novies CP s’il n’existait pas d’obstacle tech­nique empê­chant cet accès. L’exigence d’un obstacle pure­ment tech­nique est toute­fois discu­tée en doctrine et semble peu adap­tée aux réali­tés hospitalières.

Arrêt du 9 juin 2021 de la Cour d’appel pénal du Tribunal canto­nal fribour­geois, cause n^o 501 2020 136

L’appelante a engagé des pour­suites pénales à l’encontre de B, méde­cin assis­tante à l’époque des faits, pour sous­trac­tion de données au sens de l’art. 179^novies CP au motif qu’elle aurait accédé élec­tro­ni­que­ment à son dossier médi­cal sans raison valable. A l’origine des faits, l’appelante expose qu’elle avait tenté de mettre fin à ses jours. Selon ses allé­ga­tions, la personne avait qui elle entre­te­nait alors une liai­son, un haut respon­sable du réseau hospi­ta­lier fribour­geois, aurait fait pres­sion sur la méde­cin assis­tante B pour qu’elle accède à son dossier médi­cal, de telle manière à véri­fier que son nom n’apparaisse pas dans le dossier. Le dossier médi­cal se trou­vait alors sur un site différent.

L’art.  179^novies CP  punit, sur plainte, celui qui sous­trait d’un fichier des données person­nelles sensibles ou des profils de la person­na­lité qui ne sont pas libre­ment acces­sibles. Le Tribunal canto­nal fribour­geois adopte la posi­tion selon laquelle des données ne sont pas libre­ment acces­sibles si l’auteur doit surmon­ter des obstacles de nature tech­nique pour y accé­der. A l’inverse, si la barrière est seule­ment de nature « humaine » et que les données sont libre­ment acces­sibles d’un point de vue tech­nique, l’infraction de sous­trac­tion de données person­nelles au sens de l’art. 179^novies CP ne pour­rait pas être réali­sée. Cette approche serait confir­mée par l’institution d’une nouvelle infrac­tion dans la Loi fédé­rale sur le dossier élec­tro­nique du patient (LDEP) qui punit d’une contra­ven­tion l’accès inten­tion­nel sans droit par un méde­cin au dossier élec­tro­nique du patient. Or, pour le Tribunal canto­nal fribour­geois, l’adop­tion de cette nouvelle infrac­tion qui n’exige pas d’obs­tacle tech­nique serait inutile si elle était déjà couverte par l’art. 179^novies CP.

Faisant sienne l’argumentation de l’instance infé­rieure, le Tribunal canto­nal fribour­geois note qu’en l’occurrence, aucune barrière d’ordre tech­nique n’avait entravé l’accès du dossier médi­cal de l’appelante par la méde­cin assis­tante B. Seul un « contrat moral » inci­tait les employés du réseau de l’Hôpital fribour­geois (HFR) à consul­ter les seules données néces­saires à leur propre travail, c’est-à-dire à consul­ter le dossier d’un patient unique­ment en cas de rela­tion théra­peu­tique. Pour accé­der élec­tro­ni­que­ment à un dossier médi­cal, un employé devait simple­ment intro­duire le motif pour lequel il dési­rait accé­der au dossier. Il suffi­sait donc à un méde­cin d’inscrire n’importe quelle justi­fi­ca­tion dans un champ qui en pratique était souvent incom­plet, vide ou parfois même incom­pré­hen­sible. Lors de l’accès liti­gieux, les initiales « MA » avaient ainsi été insérées.

Dans de telles circons­tances, le Tribunal canto­nal a jugé qu’en l’ab­sence d’obs­tacle tech­nique pour accé­der aux données, l’infraction de sous­trac­tion de données ne pouvait pas être remplie et confirmé l’acquittement prononcé par l’autorité infé­rieure. Il a au demeu­rant jugé qu’il n’existait pas une certi­tude suffi­sante que l’accès avait bel et bien été person­nel­le­ment opéré par B, l’utilisation du poste par un tiers alors que la session était ouverte ne pouvant pas être exclu en l’espèce.

Au final, le résul­tat auquel parvient le Tribunal canto­nal est défen­dable. Les données pouvaient poten­tiel­le­ment être consi­dé­rées comme libre­ment acces­sibles si les mesures de protec­tion pour empê­cher leur accès, à l’époque, étaient plus ou moins inexis­tantes et surtout non contrôlées.

L’argumentation juri­dique déve­lop­pée par le Tribunal canto­nal prête néan­moins flanc à la critique. Celui-ci s’est en effet reposé sur une partie de la doctrine et de la juris­pru­dence canto­nale pour partir du prin­cipe que l’infraction de sous­trac­tion de données au sens de l’art. 179^novies CP néces­si­tait l’existence d’une barrière tech­nique. Or, une partie diver­gente de la doctrine estime à l’inverse que cette condi­tion ne ressort pas de la dispo­si­tion pénale et serait même contraire à son texte (par ex. : Dupuis et al., Petit commen­taire Code pénal, 2^ème éd., Bâle 2017, ad art. 179^novies, N 10). Si le légis­la­teur avait exigé l’existence d’une barrière tech­nique, il aurait adopté une formu­la­tion simi­laire à celle qui figure à l’art. 143 CP (sous­trac­tion de données). Cette infrac­tion, qui réprime la sous­trac­tion de données qui ne sont pas néces­sai­re­ment person­nelles en vue de procu­rer un enri­chis­se­ment illé­gi­time, évoque en effet des données « spécia­le­ment proté­gées contre tout accès indu ». Les deux dispo­si­tions ont de surcroît été élabo­rées en paral­lèle, lais­sant suggé­rer que le légis­la­teur a volon­tai­re­ment opéré une distinc­tion quant au degré d’accessibilité des données. Pour illus­trer leur propos, les auteurs susmen­tion­nés expliquent que si l’art. 143 CP exige que la porte soit fermée à clef, il suffit que la porte soit fermée et que l’auteur n’ait pas le droit de la fran­chir pour remplir les condi­tions de l’art. 179^novies CP.

L’exigence d’un obstacle tech­nique semble d’ailleurs peu adéquate si on l’applique aux réali­tés hospi­ta­lières. En effet, si le droit de la protec­tion des données et l’obligation d’observer le secret médi­cal visent à proté­ger les patients, ils ne doivent pas faire barrage à leur prise en charge théra­peu­tique effi­cace. Or, dans une struc­ture hospi­ta­lière, il est néces­saire que le person­nel de diffé­rents services puisse, si cela est rendu néces­saire par les besoins du patient, accé­der au dossier de ce dernier. Pour ce faire, les hôpi­taux limitent en prin­cipe les accès par dépar­te­ment ou service, tout en réser­vant la possi­bi­lité d’accéder au dossier lié à un autre dépar­te­ment s’il existe une justi­fi­ca­tion suffi­sante. Cet accès « extra­or­di­naire » doit être possible dans l’urgence, sans entrave admi­nis­tra­tive chro­no­phage. A cet égard, les hôpi­taux prévoient en prin­cipe qu’un tel accès soit consi­gné et qu’il puisse être contrôlé a posteri. On parle parfois de « fenêtre brisée ».

Si l’on adopte la posi­tion doctri­nale susmen­tion­née, l’interdiction faite au person­nel hospi­ta­lier d’accéder aux dossiers de patients dont ils n’ont pas la charge ainsi qu’un proces­sus effi­cace et surveillé de « fenêtre brisée » doivent certai­ne­ment être consi­dé­rés comme suffi­sants pour que les données de patients ne soient pas consi­dé­rées comme « libre­ment acces­sibles » au sens de l’art. 179^novies CP. Cette inter­pré­ta­tion paraît non seule­ment la plus conforme au texte de la loi, mais offre égale­ment une protec­tion pénale effi­cace contre les accès indus aux données sensibles dans une même institution.

On notera enfin que depuis les faits à l’origine de la cause (2015), l’Hôpital fribour­geois a annoncé avoir pris des mesures de renfor­ce­ment de son système. S’exprimant dans la presse sur l’affaire décrite ci-dessus (La Liberté, Un secret médi­cal pas assez gardé, 29 juillet 2021), son Secrétaire géné­ral a expli­qué que les soignants étaient désor­mais tenus de justi­fier l’ac­cès à un dossier en sélec­tion­nant un motif énoncé dans une liste fermée. Par ailleurs, le soignant qui consulte un dossier peut aujourd’hui visua­li­ser l’ensemble des personnes qui ont accédé au dossier avant lui et signa­ler les accès inha­bi­tuels ou suspects. Plusieurs blâmes ont déjà été pronon­cés depuis lors.