Arrêt ACPR/​239/​2025 du 26 mars 2025 de la Cour de Justice du canton de Genève

I. Résumé de l’arrêt

Cet arrêt concerne un recours formé par A contre une ordon­nance de non-entrée en matière rendue par le Ministère public. La recou­rante avait déposé plainte contre C SA pour viola­tion de la LPD, après avoir décou­vert que l’employée E de cette société avait consulté son dossier médi­cal. La Cour de Justice rejette le recours, esti­mant que les condi­tions d’application des dispo­si­tions pénales de la LPD ne sont pas réunies, et confirme ainsi la déci­sion du Ministère public de ne pas ouvrir d’instruction.

En l’espèce, la recou­rante, en appren­tis­sage d’employée de commerce, suivait un trai­te­ment psychia­trique à la clinique F exploi­tée par C SA. Après avoir appris qu’une cama­rade de classe, E, appren­tie chez C SA, avait révélé des infor­ma­tions médi­cales sur une autre appren­tie, elle a demandé à véri­fier qui avait consulté son propre dossier. Un relevé d’activités (logs tech­niques) a confirmé un accès par E le 7 juillet 2023 pendant envi­ron 30 secondes. L’enquête a révélé que le logi­ciel utilisé ne permet­tait pas l’accès partiel à un dossier, chaque utili­sa­teur ayant accès à l’intégralité du dossier médi­cal informatisé.

Deux dispo­si­tions pénales de la LPD sont au cœur du litige. Premièrement, l’art. 60 al. 1 let. a LPD (obli­ga­tion d’informer). La recou­rante esti­mait que C SA n’avait pas fourni d’informations complètes sur les données consul­tées. La Cour a jugé que la société avait respecté ses obli­ga­tions en répon­dant dans le délai de 30 jours et dans la mesure des possi­bi­li­tés tech­niques, le logi­ciel ne permet­tant pas de savoir préci­sé­ment quelles données avaient été consultées.

Secondement, l’art. 61 let. c LPD (sécu­rité des données). La recou­rante contes­tait le fait que les employés admi­nis­tra­tifs puissent accé­der à l’intégralité de son dossier médi­cal. La Cour a consi­déré que l’accès était néces­saire pour les tâches de factu­ra­tion et que la propor­tion­na­lité de cet accès rele­vait davan­tage du droit civil que du droit pénal. Seuls des cas mani­festes, comme l’absence totale de mesures de protec­tion, pour­raient consti­tuer une infrac­tion pénale.

II. Raisonnement de la Cour

Concernant l’art. 60 LPD, la Cour estime que C SA a respecté ses obli­ga­tions légales en répon­dant de manière complète aux ques­tions (sic) de la recou­rante le 25 mars 2024, puis en préci­sant sa réponse le 9 avril. La Cour consi­dère que l’information four­nie était conforme aux exigences de l’art. 25 LPD. Même si la société n’a pas précisé exac­te­ment quelles données avaient été consul­tées le 7 juillet 2023, cette infor­ma­tion n’était pas perti­nente puisque C SA avait clai­re­ment indi­qué que l’accès au dossier médi­cal était néces­saire pour les tâches de factu­ra­tion. De plus, la Cour relève que le logi­ciel ne permet­tait pas tech­ni­que­ment de déter­mi­ner exac­te­ment quelles données avaient été consul­tées, ce qui exclut toute viola­tion inten­tion­nelle de l’art. 60 LPD.

Concernant l’art. 61 LPD, la Cour consi­dère que la ques­tion soule­vée par la recou­rante relève essen­tiel­le­ment du droit civil et du prin­cipe de propor­tion­na­lité (art. 6 al. 2 LPD) plutôt que du droit pénal. La Cour rappelle que seuls des cas mani­festes, comme l’absence totale de mesures de protec­tion, pour­raient consti­tuer une infrac­tion pénale sous l’angle de l’art. 61 LPD. L’existence d’un motif objec­tif (néces­sité pour la factu­ra­tion) justi­fiant l’accès aux dossiers médi­caux et le fait que les employés admi­nis­tra­tifs soient égale­ment soumis au secret médi­cal empêchent de consi­dé­rer ce cas comme attei­gnant le degré de gravité requis pour une infrac­tion pénale.

La Cour conclut qu’on peut exclure que d’éventuelles défaillances orga­ni­sa­tion­nelles soient suffi­sam­ment graves pour réali­ser l’infraction visée à l’art. 61 let. c LPD.

III. À rete­nir de ce jugement

Pour qu’une viola­tion de l’art. 60 LPD soit établie, l’information incom­plète ou inexacte doit être four­nie inten­tion­nel­le­ment. Les limi­ta­tions tech­niques d’un système infor­ma­tique excluent donc le carac­tère inten­tion­nel. Ce raison­ne­ment suggère qu’une entre­prise ne peut être tenue péna­le­ment respon­sable pour des infor­ma­tions qu’elle est tech­ni­que­ment inca­pable de four­nir, ce qui établit une distinc­tion impor­tante entre contraintes tech­niques objec­tives et refus déli­béré de commu­ni­quer des infor­ma­tions disponibles.

Concernant l’art. 61 LPD, seuls des cas mani­festes d’absence de mesures de protec­tion adap­tées peuvent consti­tuer une infrac­tion pénale. En l’espèce, l’existence d’un motif objec­tif pour l’accès (besoins de factu­ra­tion) et le fait que le person­nel soit soumis au secret médi­cal excluent une viola­tion. De plus, la Cour note que des para­mètres tech­niques permet­taient aux méde­cins de restreindre la consul­ta­tion d’un dossier à certains utili­sa­teurs ou d’exclure tout accès, bien que ces options n’aient appa­rem­ment pas été utili­sées pour le dossier de la recourante.

La distinc­tion entre ques­tions de droit civil (propor­tion­na­lité du trai­te­ment des données) et viola­tions du droit pénal est souli­gnée par la Cour, qui rappelle que seules les viola­tions graves relèvent des dispo­si­tions pénales de la LPD. Cela signi­fie que les personnes concer­nées devraient privi­lé­gier les voies civiles (comme une action en cessa­tion du trai­te­ment illi­cite) plutôt que pénales pour contes­ter la propor­tion­na­lité d’un trai­te­ment. Cette approche limite consi­dé­ra­ble­ment la portée des dispo­si­tions pénales de la LPD, qui sont donc réser­vées aux cas les plus graves.

L’arrêt met en lumière un dilemme pratique auquel sont confron­tés de nombreux établis­se­ments de santé : comment conci­lier les besoins admi­nis­tra­tifs légi­times (factu­ra­tion des actes médi­caux) avec la protec­tion des données des patients ? La Cour accepte l’argument selon lequel « l’émission des factures impli­quait de connaître quelles pres­ta­tions médi­cales avaient été four­nies » et que « l’accès, par les factu­ristes, à l’onglet médi­cal des dossiers était néces­saire à l’exécution de leurs tâches ». Cette posi­tion soulève des ques­tions impor­tantes sur la concep­tion des systèmes d’information médi­caux et les règles de sécu­rité qui voudraient que seules les données stric­te­ment néces­saires soient acces­sibles à chaque caté­go­rie de person­nel. Le juge­ment illustre la diffi­culté de mettre en pratique ces règles dans les envi­ron­ne­ments médi­caux où les systèmes infor­ma­tiques ne sont pas toujours conçus avec une granu­la­rité d’accès suffisante.

IV. Critiques

L’analyse de la Cour se concentre sur les aspects tech­niques et juri­diques mais accorde moins d’attention au prin­cipe de propor­tion­na­lité, pour­tant central en matière de protec­tion des données. On pour­rait soute­nir que même si l’accès aux données médi­cales est néces­saire à des fins de factu­ra­tion, un système de contrôle d’accès plus nuancé pour­rait être mis en place. En effet, la mise en œuvre du prin­cipe de propor­tion­na­lité passe notam­ment par les mesures de sécu­rité qui sont décrites à l’art. 3 OPDo, lequel précise que les personnes auto­ri­sées ne doivent avoir accès « qu’aux données person­nelles dont elles ont besoin pour accom­plir leurs tâches » (al. 1 let. a). Il ne se justi­fie donc pas que le person­nel admi­nis­tra­tif ait un accès complet au dossier médi­cal d’une personne, sauf si cet accès est néces­saire pour ses tâches. Le fait d’être soumis au secret médi­cal ne consti­tue pas à cet égard une circons­tance permet­tant d’assouplir l’un des prin­cipes de base en matière de sécu­rité et de protec­tion des données.

La Cour accepte sans grande analyse critique l’affirmation selon laquelle le person­nel de factu­ra­tion a besoin d’accéder à l’intégralité des dossiers médi­caux, ce qui pour­rait être contes­table du point de vue de la protec­tion des données dès la concep­tion. En effet, comme je viens de l’expliquer ci-dessus, un logi­ciel de gestion de données doit permettre l’attribution de rôles aux diffé­rents utili­sa­teurs, ces rôles octroyant plus ou moins de droits d’accès aux données ou aux écrans sur lesquels elles s’affichent. Le niveau de granu­la­rité offert par le logi­ciel doit être fin, qui plus est lorsqu’on traite des données sensibles, afin de permettre au respon­sable du trai­te­ment de prendre les mesures lui permet­tant de limi­ter conve­na­ble­ment et effi­ca­ce­ment l’accès aux données qui ne sont pas néces­saires aux tâches de chaque membre du person­nel. Il aurait été perti­nent que la Cour inter­roge l’état de l’art en matière de systèmes d’information médi­caux pour déter­mi­ner si des solu­tions plus respec­tueuses du prin­cipe de propor­tion­na­lité étaient dispo­nibles et raison­na­ble­ment implémentables.

Le juge­ment établit un seuil élevé pour la respon­sa­bi­lité pénale en vertu des art. 60 et 61 LPD, suggé­rant que seules les viola­tions inten­tion­nelles les plus graves seraient pour­sui­vies. Cela pour­rait affai­blir l’effet dissua­sif de ces dispo­si­tions alors que le Parlement fédé­ral a préféré des sanc­tions pénales au lieu de sanc­tions admi­nis­tra­tives et a rehaussé la limite maxi­male des amendes à CHF 250 000.-. Une condam­na­tion à une amende d’un montant propor­tion­nel­le­ment faible (p. ex. CHF 5000.-), mais une condam­na­tion quand même, serait un message préfé­rable à aucune condam­na­tion. Une inter­pré­ta­tion moins restric­tive des art. 60 et 61 LPD permet­trait de mieux respec­ter l’intention du légis­la­teur d’assurer une protec­tion effec­tive des données, malgré la rigueur du prin­cipe nullum crimen, nulla poena sine lege ancré à l’art. 1 CP.

Sur l’aspect inten­tion­nel des infrac­tions, la Cour n’analyse l’intention (qui couvre le dol éven­tuel, art. 12 al. 2 2e phrase CP) qu’en lien avec l’art. 60 LPD, et non avec l’art. 61 let. c LPD.

La Cour se fonde sur l’impossibilité tech­nique du logi­ciel à préci­ser quelles données exactes ont été consul­tées pour écar­ter la viola­tion inten­tion­nelle. Cette approche est logique dans sa construc­tion, mais ne ques­tionne pas si cette limi­ta­tion tech­nique consti­tue elle-même un manque­ment aux obli­ga­tions du respon­sable de trai­te­ment. On pour­rait effec­ti­ve­ment se deman­der si le fait de ne pas être capable de four­nir les infor­ma­tions détaillées sur les accès consti­tue une viola­tion par dol éven­tuel de l’art. 61 let. c LPD. En effet, on pour­rait argu­men­ter qu’une jour­na­li­sa­tion détaillée (art. 4 OPDo) aurait dû être mise en œuvre au vu de l’absence d’une gestion plus fine des droits d’accès aux dossiers médicaux.

La ques­tion de savoir si C SA aurait pu mettre en œuvre de meilleures solu­tions tech­niques pour assu­rer un contrôle d’accès plus granu­laire, respec­tant mieux le prin­cipe de propor­tion­na­lité et égale­ment celui de protec­tion des données dès la concep­tion, n’est pas appro­fon­die. Or on pour­rait argu­men­ter que le respon­sable du trai­te­ment n’a, ici, pas pris les mesures de sécu­rité adéquates pour assu­rer cette granu­la­rité, ou n’a pas demandé au four­nis­seur du logi­ciel de le modi­fier afin d’offrir cette fonc­tion­na­lité. Ce compor­te­ment pour­rait lui aussi être consti­tu­tif d’une viola­tion par dol éven­tuel de la pres­crip­tion sur les mesures mini­males de sécurité.

En conclu­sion, cet arrêt illustre la diffi­culté d’ap­pli­quer les dispo­si­tions pénales de la LPD dans des situa­tions où les défaillances orga­ni­sa­tion­nelles et tech­niques sont présentes mais ne consti­tuent pas des viola­tions flagrantes. Il démontre égale­ment la néces­sité pour les établis­se­ments de santé de revoir leurs systèmes d’in­for­ma­tion en tenant compte des exigences de propor­tion­na­lité et de sécu­rité requises par la LPD et l’OPDo, notam­ment en ce qui concerne la granu­la­rité des droits d’ac­cès et la jour­na­li­sa­tion précise des consul­ta­tions de données sensibles.

À l’heure où les amendes pour station­ne­ment illi­cite sont plus faci­le­ment infli­gées que les sanc­tions pour viola­tion de la LPD, on peut se deman­der si nos données person­nelles valent moins qu’une place de parking. On retien­dra enfin de cet arrêt que la granu­la­rité d’ac­cès aux données sensibles est désor­mais aussi option­nelle que la lecture des condi­tions géné­rales d’utilisation.