La première sanction RGPD est portugaise !
C’est tombé ! La première sanction au titre du Règlement européen sur la protection des données personnelles (RGPD) concerne le Centre Hospitalier Barreiro au Portugal. L’autorité de contrôle portugaise, la Comissão Nacional de Proteção de Dados a infligé une amende de 400 000 euros au centre hospitalier.
I. Faits litigieux
Les faits remontent à juin dernier après une inspection diligentée par l’autorité de contrôle portugaise, suite à une alerte émise par l’ordre des médecins. L’autorité de contrôle portugaise a constaté que plusieurs membres du personnel administratif bénéficiaient d’accès censés être réservés aux médecins.
Parallèlement, elle a observé que 985 médecins avaient des habilitations pour accéder aux dossiers médicaux des patients, alors que l’établissement ne comprend que 296 médecins titulaires. Cette différence s’explique par l’intervention de médecins vacataires dans le centre hospitalier. Toutefois, les comptes habilités restaient actifs en permanence malgré l’absence desdits vacataires.
Enfin, les enquêteurs ont créé un compte test révélant l’accès à de nombreuses données personnelles de patients et mettant en exergue une faiblesse dans la gestion des comptes (habilitation, gestion des profils…) par le centre hospitalier.
II. Les manquements retenus par l’autorité de contrôle portugaise à l’encontre du centre hospitalier
Trois infractions au RGPD ont été sanctionnées par l’autorité de contrôle portugaise : la violation des principes d’intégrité et de confidentialité des données (1), la violation du principe de minimisation des données (2) et l’incapacité pour le responsable du traitement des données à garantir l’intégrité et la confidentialité des données (3).
1) La violation des principes d’intégrité et de confidentialité des données
L’article 5 [paragraphe 1, f)] du RGPD dispose que les données à caractère personnel doivent être traitées de façon à garantir une sécurité appropriée de ces dernières. Cette sécurité recouvre la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle et ce, à l’aide de mesures techniques ou organisationnelles.
De plus, dans ses lignes directrices 03/2014 sur la notification des violations, le G29 dégage trois types de violation de données :
- La « violation de la confidentialité » : en cas de divulgation ou d’accès non autorisé ou accidentel à des données personnelles ;
- La « violation de l’intégrité » : en cas de modification non autorisée ou accidentelle de données à caractère personnel;
- La « violation de la disponibilité » : en cas de perte d’accès ou de destruction non autorisée de données à caractère personnel.
Il convient également de noter qu’une violation peut concerner alternativement ou cumulativement l’intégrité, la confidentialité et la disponibilité des données à caractère personnel.
En l’espèce, l’autorité de contrôle portugaise a relevé une violation de la confidentialité et de l’intégrité des données. En effet, le personnel administratif du centre hospitalier bénéficiait d’accès réservés aux médecins et pouvait donc consulter ou modifier des dossiers médicaux de patients.
2) La violation du principe de minimisation des données
L’article 5 [paragraphe 1, c)] du RGPD dispose que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Ce principe est directement lié à l’article 25 (paragraphe 2) du RGPD qui énonce que :
« le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée. »
Ce principe est essentiel au regard des violations car, in fine, la personne non-autorisée n’aura accès qu’à une quantité limitée de données. En l’espèce, ce sont celles des patients.
Le centre hospitalier a donc violé ce principe en donnant accès aux données des patients à un nombre indéterminé de personnes dans leur établissement.
3) L’incapacité pour le responsable du traitement des données de garantir la confidentialité et l’intégrité des données
L’article 32 [paragraphe 1, b)] du RGPD dispose que, compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins : des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement.
En l’espèce, l’enquête menée par l’autorité de contrôle portugaise a souligné l’absence totale de règles mises en place par le centre hospitalier afin de garantir la confidentialité et l’intégrité des données personnelles. Ce manque d’encadrement a conduit aux dérives constatées par l’autorité de contrôle portugaise. Ce manquement va souvent de pair avec la violation car l’un est, dans de nombreux cas, la conséquence de l’autre. Toutefois, ces derniers doivent être considérés indépendamment.
Ce manquement est d’autant plus important qu’il concerne des données de santé. Ces données particulières, au sens du RGPD, doivent faire l’objet d’une vigilance accrue.
III. Les arguments développés par le centre hospitalier
Le centre hospitalier a soulevé l’incompétence de l’autorité de contrôle portugaise pour contrôler les politiques de protection des données au Portugal dans la mesure où la proposition de loi qui adapte le règlement européen au droit national est en cours de rédaction et de débat à l’Assemblée de la République portugaise. Cependant, le RGPD étant d’application directe, cet argument ne pouvait prospérer.
Le centre hospitalier a également souligné que les référentiels, la hiérarchie des profils et les règles d’accès étaient établis par un tiers, soit le ministère de la santé du Portugal (qui est responsable du volet technologique du système des hôpitaux publics) l’exonérant, dès lors, de toute responsabilité. Enfin, le centre hospitalier affirme que les outils informatiques disponibles ne permettraient pas de définir clairement les accès et leur portée dans chaque scénario. Cet argument est aussi inopérant dans la mesure où le RGPD impose la mise en place de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque [article 32 (1) du RGPD]. Le centre hospitalier se devait donc de mettre tout en œuvre afin que de telles mesures soient mises en place.
L’ensemble de ces arguments ne peut pas convaincre dès lors que le centre hospitalier avait conscience de ces problèmes et n’a pris aucune mesure pour tenter de régler cette situation. L’autorité de contrôle portugaise a donc naturellement rejeté ces arguments.
IV. Les sanctions prononcées par l’autorité de contrôle portugaise
Se fondant sur l’article 83 du RGPD, l’autorité de contrôle portugaise a prononcé, à l’encontre du Centre Hospitalier Barreiro-Montijo, une sanction d’un montant total de 400 000€ se décomposant de la manière suivante :
- 150 000 € au titre de la violation des principes d’intégrité et de confidentialité des données ;
- 150 000 € au titre de la violation du principe de minimisation des données ;
- 100 000 € au titre de l’incapacité pour le responsable du traitement des données à garantir la confidentialité et l’intégrité des données.
L’ensemble des pays européens attendait avec impatience la première sanction prononcée sous l’empire du RGPD. Cette sanction est donc portugaise et d’un montant important au regard du caractère sensible des données et de la négligence flagrante du centre hospitalier, organisme public. Cette décision ouvre la voie aux autres autorités de contrôles européennes, à suivre…