CONTACT

L’urgence médicale ne peut pas passer outre le RGPD

24 janvier 2024 | Derriennic Associés|

L’autorité de contrôle italienne a sanctionné un pneumologue pour avoir, sous prétexte de l’urgence, transmis à un tiers des données de santé.

Un patient, après avoir réalisé un examen pneumologique, a constaté que le courrier électronique comportant ses résultats d’examen avait été transmis à un tiers sans son consentement. Le patient a donc déposé une plainte devant l’autorité de contrôle italienne.

Le médecin justifiait une telle transmission en indiquant que compte tenu « du degré de gravité de la maladie » et de « l’urgence à prévoir, dans les plus brefs délais, l’utilisation d’un respirateur », il n’avait pas eu d’autre choix que de « transmettre les résultats de l’examen médical à la seule société en Toscane qui pouvait fournir rapidement […] l’appareil au patient ».

Le médecin considérait :

  • que le traitement était exempté de consentement, conformément à l’article 9(2)h du RGPD, car « essentiel aux soins du patient » et « nécessaire aux fins de [..] diagnostics médicaux » ;
  • qu’en tout état de cause, le patient (i) avait donné son consentement puisque le médecin l’avait alerté sur la gravité de sa maladie, (ii) était informé de la nécessité urgente d’acheter un respirateur en passant par l’intermédiaire d’une société tierce et (iii) avait confirmé qu’il « achèterait dès que possible la machine ».

Au cours de son enquête, l’autorité de contrôle a :

  • considéré que la transmission des données de santé du patient à un tiers, « bien que prétendument destiné à faciliter l’acquisition de la machine », « ne peut être considérée comme essentielle pour le traitement, étant donné que le patient était en mesure d’acquérir la machine de manière autonome » ;
  • rejeté l’argument selon lequel le patient avait consenti à un tel traitement, le consentement n’étant pas suffisamment « explicite » ;
  • estimé qu’en tout état de cause, conformément au principe de minimisation, le tiers « avait uniquement besoin d’acquérir des éléments relatifs à la pathologie du patient, et non l’ensemble de ses résultats d’examen ».

Compte tenu de ce qui précède, l’autorité de contrôle a infligé au pneumologue une amende de 5000 € pour avoir violé le principe de licéité, posé à l’article 5(1) a du RGPD et le principe d’interdiction de traitement des données sensibles, posé à l’article 9 du RGPD.