Comme prévu dans son programme de contrôle, la CNIL poursuit ses investigations dans les établissements de santé. Suite au fichage illégal des aides soignantes, la CNIL avait déjà investi les locaux de la maternité Debré à Paris, mais aujourd’hui un autre établissement de santé est dans la tourmente.

L’hôpital parisien Georges Pompidou est en effet dans la ligne de mire de la Commission Nationale de l’Informatique et des Libertés (ci-après « CNIL ») pour avoir créé un fichier recensant le temps d’occupation des blocs opératoires agrémenté de certaines données à carac tère personnel.

Ce qui a mis le feu aux poudres ? une lettre glissée sous la porte des médecins de l’hôpital Pompidou pour les informer que la directrice de l’établissement avait communiqué ce fichier par courriel, le 19 février 2014, au président de la Commission médicale d’établissement local et au doyen de la faculté de médecine.

Si l’envoi de ce courriel n’était en lui-même pas préjudiciable, son contenu quant à lui l’était bien davantage. En effet, tout fichier de données à caractère personnel doit faire l’objet d’une formalité préalable auprès de la CNIL. Or, le fichier contenait des bien des données à caractère personnel, relatives aux chirurgiens, au nombre et à la durée de leurs interventions pour les années 2012 et 2013, ainsi que l’évolution de ces chiffres en pourcentage sur les deux dernières années.

Ce fichier a priori anodin pour l’organisation nécessaire à un établissement de santé comprenait en outre des appréciations et des commentaires inappropriés :

– des noms de chirurgiens surlignés en jaune lorsque leur activité n’était pas « satisfaisante »,
– des commentaires péjoratifs tels que « faiblard » et,
– des informations erronées, selon certains médecins.

C’est pourquoi sept chirurgiens de l’Hôpital Pompidou ont déposé plainte contre X auprès du parquet de Paris pour, selon l’avocat de l’un des médecins :

• « mise en œuvre d’un traitement automatisé de données personnelles clandestin » car aucune déclaration préalable n’avait été effectuée auprès de la CNIL ;
• « manquement à l’obligation de préserver la sécurité des données traitées » du fait que le fichier circulait et avait été envoyé à des personnes extérieures à l’Hôpital ;
• « détournement de finalités des informations » car le fichier a servi à « classer » les chirurgiens ;
• « divulgation illicite d’informations personnelles ».

L’enquête préliminaire confiée à la Brigade de la Répression de la Délinquance contre la Personne (BRDP) n’a toutefois pas échappé à la CNIL.

La CNIL, dans sa volonté manifeste et actuelle de contrôler les établissements de santé, a ainsi procédé à une perquisition au sein de l hôpital Pompidou le 14 mai 2014 et auditionné des membres de son personnel, dont l’un des destinataires du fichier litigieux.

Si la CNIL n’a encore fait aucun commentaire, elle manifeste tout de même son refus de se contenter de l’audit généralisé lancé par l’Assistance Publique – Hôpitaux de Paris (AP-HP).

L’affaire reste donc à suivre mais il serait plus que judicieux pour les établissements de santé de procéder dans les plus brefs délais à des audits de conformité Informatique et Libertés afin de se prémunir contre un éventuel contrôle de la CNIL et les lourdes sanctions qui peuvent en découler.

Pour en savoir plus :

http://www.haas-avocats.com/non-classe/haas-societe-davocats-1er-cabinet-davocats-obtenir-2-labels-cnil/
http://www.haas-avocats.com/actualite-juridique/les-professionnels-de-la-sante-a-lepreuve-de-la-securite-informatique/