Pour lire l’article : Revue Expertises n°502 – Juin 2024
Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en s’appuyant sur les décisions rendues par les autorités nationales de contrôle au niveau européen et les juridictions européennes.
Ce mois-ci, il se penche sur la question de l’application du RGPD à la réponse publiée par un professionnel de santé à un avis en ligne, publié par une patiente après une consultation chez ce professionnel. Nos avocats en droit de la e-santé vous apportent des réponses.
Une patiente s’est rendue au cabinet médical d’un médecin spécialisé en gynécologie. Ce dernier lui a diagnostiqué une infection. Quelques jours après cette visite, la patiente a publié, sous un nom d’emprunt, un avis en ligne indiquant en substance : « Je ne le recommande pas comme médecin. Il s’est comporté avec condescendance à mon égard, sans aucune trace d’empathie et n’a absolument pas tenu compte de moi en tant que patiente, même lorsque j’étais désespérée et que je me suis mise à pleurer. Ne m’a même pas demandé la raison de ma visite et m’a immédiatement renvoyé vers son assistante. » Le lendemain, le médecin a réagi, en publiant la réponse suivante : « J’ai diagnostiqué son infection vaginale et l’ai traitée de manière professionnelle. Vous avez pu venir le jour même et n’avez rien eu à payer. Malheureusement, ce n’est pas suffisant pour vous et maintenant vous me reprochez un manque d’empathie… De mon côté, j’attends également un certain degré de coopération et d’attention afin de pouvoir mener à bien l’entretien médical. »
A la suite de la publication de cette réponse, la patiente a déposé une plainte auprès de l’autorité autrichienne de protection des données, qui s’est saisie du dossier. Considérant que la publication en ligne du commentaire litigieux du professionnel de santé ne pouvait s’analyser comme un traitement relevant d’une activité strictement personnelle ou domestique au sens de l’article 2, paragraphe 2, c) du RGPD, l’autorité a estimé que le RGPD s’applique au cas d’espèce, et ce d’autant qu’il ne fait aucun doute que le médecin a, en publiant le commentaire litigieux, traité des données personnelles concernant la patiente, données qualifiées par ailleurs de données de santé s’agissant du diagnostic médical. Par conséquent, l’autorité a recherché si une exception (article 9, paragraphe 2) au principe d’interdiction portant sur le traitement des données de santé pouvait s’appliquer au cas d’espèce. Une telle publication ne pouvant se fonder sur aucune des exceptions énumérées à l’article 9 paragraphe 2 du RGPD, l’autorité autrichienne de protection des données a considéré que le médecin avait violé le RPGD. Par ailleurs, ce dernier a enfreint le principe de limitation des finalités énoncé à l’article 5, paragraphe 1, a), dans la mesure où « il n’existait aucun lien concret, cohérent ou suffisamment étroit entre la finalité de la collecte des données et leur traitement ultérieur », et ce d’autant que « la personne concernée ne pouvait prévoir que [le médecin] publierait des données relatives à son diagnostic médical en réponse à son commentaire. »