Explorez notre collection de documents PDF et enrichissez vos connaissances dès maintenant !
retour
LA PROTECTION DES DONNÉES DE SANTÉ DANS LA LIGNE DE MIRE DE LA CNIL
Article IT et données personnelles Droit de la concurrence, consommation et distribution Contrats commerciaux et internationaux | 15/02/12 | 5 min. | Florence Chafiol
Dans une décision du 9 janvier 2011, la CNIL a sanctionné un hébergeur de données de santé pour déclaration mensongère.
L’article L.111-8 du code de la santé publique prévoit en effet que les hébergeurs de données de santé doivent être agréés par le Ministre de la Santé, après avis de la CNIL.
Dans le cadre de la demande d'agrément, un certain nombre d’informations doivent être fournies par l’hébergeur et notamment les dispositions prises pour garantir la sécurité des données traitées en application de l'article 34 de la loi n° 78-17 du 6 janvier 1978 dite « loi Informatique et Libertés ». A ce titre, l’hébergeur doit notamment fournir des informations sur les mécanismes de contrôle et de sécurité informatiques mis en place ainsi que sur les procédures de contrôle interne existantes.
Sur la base des garanties présentées par le candidat en matière de sécurité des données, la CNIL se prononce et donne son avis au Ministre.
En l’espèce, l’hébergeur avait déclaré dans son dossier de candidature qu’il chiffrait toutes les données hébergées en utilisant un procédé dit de « chiffrage fort » et avait ainsi obtenu l’agrément du Ministre de la Santé.
Lors d’un contrôle sur place début 2011, la CNIL a constaté que les données de santé n’étaient pas toutes chiffrées et que les données qui étaient protégées l’étaient par un simple codage créé en interne.
La formation contentieuse de la CNIL a considéré que ceci constituait un manquement tant aux dispositions du code de la santé publique précitées qu’à la loi Informatique et Libertés, jugeant que les données ont ainsi été traitées de manière illicite. Elle a prononcé sur ces fondements un avertissement à l’encontre de l’hébergeur.
A noter que les avertissements de la CNIL sont considérés comme de véritables sanctions et peuvent de ce fait être rendus publics, comme en l’espèce.
Si à la suite d’un avertissement, la personne ou l’entreprise concernée ne remédie pas à la situation, la CNIL peut prononcer à son encontre une sanction pécuniaire, étant rappelé que la CNIL dispose d’un pouvoir de sanction propre et peut, sans qu’il soit besoin de saisir un juge, prononcer des amendes dont le montant peut aller jusqu’à 300.000 euros.
En tout état de cause, cette décision récente démontre l’intérêt croissant de la CNIL en matière de sécurité des données de santé et plus largement en matière de sécurité des données personnelles, comme en attestent également les dernières études et consultations lancées par la CNIL concernant par exemple les smartphones et le Cloud computing.
A noter pour finir que même en l’absence de sanction pécuniaire, les hébergeurs agréés ont jugé cette décision très préjudiciable à la profession et regrettent à ce propos que la CNIL n’ait pas révélé publiquement l’identité de l’hébergeur concerné afin que seul cet hébergeur soit affecté et non l’ensemble de la professions. Cette identité ne fait d’ailleurs aucun doute dans les milieux concernés.
L’hébergeur de site Internet est tenu au respect des dispositions de la loi Informatique et Libertés
Dans un arrêt du 15 décembre 2011, la Cour d’appel de Montpellier a clairement précisé que l’application de la LCEN du 21 juin 2004 n’est pas exclusive de l’application de la loi Informatique et Libertés du 6 janvier 1978.
Ainsi, un hébergeur de site internet (en l’espèce, un site Internet dénommé Over-blog.com, mettant à disposition des internautes de l’espace disque et des outils logiciels leur permettant de créer leurs propres blogs) peut également être considéré comme « responsable de traitement » au sens de la loi Informatique et Libertés et ainsi devoir respecter les dispositions de cette loi.
Dans cette affaire, un internaute qui participait régulièrement sous un pseudonyme à des forums de discussions sur le site Over-blog.com, se plaignait de la révélation, à son insu, par d’autres internautes, de sa véritable identité et de la divulgation à cette occasion d’informations, vraies ou supposées, sur sa vie privée et d’allégations diffamatoires à son encontre.
Cet internaute, estimant que cela constituait une atteinte à sa vie privée, avait demandé à l’hébergeur de supprimer toute mention de son patronyme sur le site.
L’hébergeur n’avait pas fait suite à cette demande au motif qu’en sa qualité de simple hébergeur au sens de la LCEN, et non d’éditeur, il n’était pas responsable du contenu de la publication, sauf dans des conditions strictes de connaissance du caractère illicite de ce contenu.
Outre le fait qu’une telle argumentation sur le fondement de la LCEN était discutable juridiquement, la Cour relève qu’en tout état de cause, la LCEN n’est pas exclusive de l’application de la loi Informatique et Libertés, laquelle prévoit clairement que « toute personne a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fasse l’objet d’un traitement » (article 38 de la loi).
Or, en l’espèce, la Cour relève que l’hébergeur, dans le cadre de la prestation qu’il offre aux internautes qui utilisent les services de mise en ligne d’un blog, collecte et traite des informations personnelles concernant ces internautes en déterminant les moyens et la finalité d’un tel traitement. Par conséquent, en l’espèce, l’hébergeur pouvait être qualifié de « responsable de traitement » au sens de la loi et devait, à ce titre, respecter les dispositions de l’article 38 susvisées et faire droit à la demande de suppression des données qui lui était faite.
Sur ce fondement, la Cour a enjoint l’hébergeur de procéder à la suppression des données litigieuses sous 15 jours, sous astreinte de 400 euros par jour de retard passé ce délai.
S’agissant d’une procédure en référé, la Cour ne s’est toutefois pas prononcée sur la demande de dommages-intérêts.
Il s’agit d’une décision intéressante qui vient faire peser sur les hébergeurs de sites internet de nouvelles obligations, au-delà de celles prévues stricto sensu par la LCEN, du moins lorsque l’hébergeur peut être juridiquement qualifié de « responsable de traitement ».
Florence Chafiol-Chaumont - Associée
Chloé Minet - Avocat senior