Note de jurisprudence – Quid de la publication sur un réseau social de photos de patients par un établissement de santé? A propos de l’affaire de la Aarhus University Hospital (Danemark)
Isabelle Génot-Pok, consultante – formatrice en droit de la santé, centre de droit JuriSanté du CNEH
Les autorités de contrôle européennes veillent à la protection des données autant que notre Commission nationale de l’informatique et des libertés (CNIL).
Récemment, l’autorité de contrôle danoise, la Datatilsynet, a pris une décision particulièrement intéressante et porteuse d’effet quant à l’interprétation de la notion de traitement de données de santé au regard du Règlement général européen de protection de données (RGPD)[1].
Dans cette affaire, un établissement de santé, la Aarhus University Hospital, pour les besoins de la promotion de ses activités, a publié sur un réseau social, en l’occurrence Instagram, diverses photos, tant de son personnel que des patients de tous âges pris en charge, mais aussi de leur entourage.
Au préalable, l’hôpital avait pris soins de recueillir le consentement écrit des patients relativement à la diffusion de leur image en demeurant vigilant à ce qu’aucune information autre ne soit publiée permettant de préciser leur identité outre mesure.
Cependant, un citoyen/patient danois a déposé une plainte auprès de l’autorité de protection des données danoise, la Datatilsynet, concernant la publication d’une photo le représentant sur ledit compte.
Une enquête a été diligentée sur cette base, par l’autorité de contrôle, le 19 décembre 2022, à l’encontre du responsable du traitement (RT): la région du Jutland central. Dans le cadre de cette enquête, il s’est avéré que l’établissement publiait régulièrement des photos depuis 2015. Par ailleurs, l’analyse du compte en question a mis également en lumière la publication d’informations sur les patients datant de 2016, et dans certains cas, sur leur de santé.
Dans le cadre de l’enquête, le responsable du traitement s’est justifié en précisant que ces informations générales étaient publiées dans le seul but d’informer la population sur les activités et la vie quotidienne de l’hôpital. Il a notamment précisé que les messages contenant des informations sur les personnes avaient obtenu leur consentement écrit, explicite, éclairé en toute transparence et que seules les données nécessaires au traitement étaient utilisées conformément au RGPD[2]. L’argumentaire n’ayant pas convaincu l’autorité danoise celle-ci conclue à l’existence d’un traitement de données de santé illicite pour défaut de base légale au regard notamment l’article 6. 1° combiné à l’article 4. 11 du RGPD[3].
En effet, pour arriver à cette décision, la Datatilsynet, raisonne sur deux plans :
- d’une part, sur la base de la déduction pour identifier la présence de données de santé lors de la publication de photographies de patients utilisées et mises en ligne par l’établissement de santé. Les regroupements de données dès lors qu’ils permettent de déduire la situation de santé d’un ou plusieurs patients crée de fait un traitement de données de santé. Dans le cas présent, et pour synthétiser, trois éléments permettent de déduire la pathologie de cette personne : une personne identifiée par sa photo, publiée par un établissement de santé, pour promouvoir une activité de soins en lien avec ces patients. On rappellera que selon l’article 9. 1 du RGPD ces traitements sont par principe interdits, sauf si le RT peut justifier de l’application d’une des exceptions prévues au .2 du même article.
- Et d’autre part, sur l’analyse des conditions de licéïté du traitement, prévues par le RGPD, notamment la condition relative au consentement[4].
Concernant une des exceptions de l’article 9. 2°, bien que le consentement de la personne soit également prévu, celui-ci doit en plus répondre aux conditions posées par les articles 4.11 et 7 du RGPD, lesquels posent le principe d’un consentement libre, éclairé, spécifique et univoque. C’est-à-dire qu’il ne doit y avoir aucun doute sur le consentement de la personne concernée [on touche ici à la complexité du système juridique et les rouages du RGPD]. Certitude non constatée par l’autorité danoise qui considère qu’une personne, en tant que patient(e), est généralement dans une situation vulnérable, notamment lorsqu’elle est hospitalisée ou suit un traitement dans un hôpital. Aussi, une telle vulnérabilité crée une inégalité entre le patient et l’hôpital et le personnel de l’hôpital, ce qui peut entraîner le risque que le patient se sente sous pression lorsqu’une structure représentant une autorité publique lui demande son consentement. Enfin, la Datatilsynet précise que lors de l’évaluation de la possibilité pour les autorités publiques d’utiliser le consentement comme base du traitement, il s’agit de savoir si le responsable du traitement et la personne concernée peuvent être considérés comme égaux dans une situation spécifique et si la personne concernée jouit d’un véritable libre choix. Or le fait que le RT évoque à son crédit que lors de la sélection des patients, la santé physique et les revenus de l’individu étaient pris en compte, ainsi que le fait que le patient ait eu le temps de réfléchir avant de signer le consentement et la possibilité d’approuver le contenu de la publication, n’est pas suffisant pour démontrer que les conditions du consentement exigées par le RGPD sont remplies. Autrement dit, selon la Datatilsynet, il faut aller au-delà et « utiliser des exigences plus strictes pour l’évaluation du consentement comme base du traitement de données personnelles des patients ».
Que retenir de cette décision pour les établissements de santé et médico-sociaux ?
- Un traitement de données personnelles peut en cacher un autre, donc grande vigilance à toujours informer le DPO dès le début du projet pour qu’il apporte son analyse et ses conseils;
- Réaliser une analyse d’impact (PIA) avant toute mise en œuvre du traitement incluant des données personnelles sensibles;
- Saisir la CNIL pour avis sur la viabilité juridique traitement;
- Etre particulièrement attentif aux modalités de recueil du consentement du patient lorsque les traitements de ses données ont le consentement comme base de licéïté. On citera ici le cas de la transmission de la lettre de liaison de sortie au médecin traitant de ville du patient[5], ou encore la transmission des données du patient à une équipe de soins hors établissement faisant partie du groupement hospitalier de territoire (GHT)[6].
NOTES
[1] Décision Datatilsynet (Denmark) – 2023-432-0016
[2] Articles 5.1 a) et c) ; 6, 1, a), et 9, 2, a), du RGPD. Respectivement sur le traitement des données personnelles qui doit être licite équitable et transparent, utilisation des données strictement nécessaires, le consentement libre et explicite de la personne.
[3] idem
[4] Il s’agit de la condition posée au 1° de l’article 6 : « la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ».
[5] Lecture combinée des articles R1112-1-1 et R1112-1-2 du code de la santé publique (CSP), renvoyant aux articles L1110-4 et L1111-2 du CSP.
[6] Article L1110-4 du CSP.