Le 10 février dernier, l’humoriste Pierre Palmade provoquait un accident de la route, avant d’être hospitalisé. Rapidement, de nombreuses informations ont circulé dans la presse, y compris sur la situation médicale de Pierre Palmade.
Selon des sources internes, des soignants de l’Assistance Publique – Hôpitaux de Paris (AP-HP) se seraient connectés au dossier médical de l’humoriste sans en avoir la nécessité, car ils n’étaient pas en charge du patient. Des dizaines de connexions par jour auraient été enregistrées, y compris depuis des hôpitaux où Palmade n’était pas hospitalisé.
L’AP-HP, qui regroupe 38 établissements, utilise un logiciel commun accessible par 100 000 personnels de santé : médecins, infirmières, infirmiers et aides-soignants. Pour consulter un dossier médical, il suffit que le patient ait déjà un dossier créé dans l’hôpital où l’on se connecte. Il est également possible de créer une fausse consultation depuis un autre hôpital pour ouvrir un dossier et y avoir accès.
Une enquête interne pourrait être lancée pour identifier les soignants concernés. Le processus serait relativement simple car chaque professionnel dispose d’un code unique, permettant de retracer les connexions au dossier. Les contrevenants s’exposent à une peine d’un an de prison et 15 000 euros d’amende pour non-respect du secret médical.
Ce n’est pas tout, en ce qui concerne le RGPD, on pourrait qualifier ces accès comme une violation de données. La violation de données désigne un incident de sécurité entraînant la divulgation, l’accès, la modification ou la destruction non autorisés de données à caractère personnel.
Exclusivité DPO PARTAGE
Vos questions sur le RGPD
Gratuitement, poser vos questions sur la conformité RGPD.
Une réponse dans la journée à votre problématique.
En France, la loi Informatique et Libertés et le Règlement Général sur la Protection des Données (RGPD) exigent que les organismes publics et privés, tels que l’AP-HP, assurent la sécurité et la confidentialité des données personnelles qu’ils traitent. En cas de violation de données, la CNIL (Commission Nationale de l’Informatique et des Libertés) doit être informée dans les 72 heures suivant la découverte de l’incident.
L’AP-HP devrait donc, en théorie, effectuer une déclaration à la CNIL concernant cette violation de données. La CNIL est en mesure d’enquêter sur l’incident et de prendre des mesures correctives si nécessaire. En fonction de la gravité de la violation et des circonstances, l’AP-HP pourrait être sanctionnée, y compris par des amendes pouvant aller jusqu’à 4% de son chiffre d’affaires annuel ou 20 millions d’euros (selon le montant le plus élevé).
Il est également important de noter que, selon le RGPD, les organismes sont tenus de notifier les personnes concernées en cas de violation de données à haut risque pour leurs droits et libertés et même si ces personnes peuvent apprendre la violation de donnés dans la presse. Dans ce cas, l’AP-HP pourrait également être tenue d’informer Pierre Palmade de la violation de ses données médicales.