CONTACT

RGPD : Un laboratoire d’analyses médicales invoque sa qualité de sous-traitant pour se dédouaner de toute responsabilité (DSIH, septembre 2023)

26 septembre 2023 | Derriennic associés|

Un patient s’est plaint du non-respect, par un laboratoire d’analyses médicales, de ses obligations au titre du RGPD. En défense, le laboratoire invoquait sa qualité de sous-traitant pour expliquer l’absence d’analyse impact et d’information des patients. Était-ce une bonne stratégie ?  Approfondissez votre compréhension des articles avec l’expertise ciblée de nos avocats en droit de la e-santé.

Les faits se déroulent en Belgique. A plusieurs reprises, un patient a réalisé, à la demande de son médecin, des analyses dans un laboratoire d’analyses médicales. Il est informé que son médecin pourra se procurer les résultats de ses analyses en se connectant sur le serveur de résultats « Cyberlab », accessible depuis le site internet du laboratoire. Constatant que ce serveur n’est pas sécurisé puisqu’accessible au moyen d’un protocole « http », le patient a déposé une plainte auprès de l’autorité de protection des données belge (ci-après l’ « APD »). Il invoquait également, à l’appui de sa plainte, d’autres manquements au RGPD : l’absence d’analyse d’impact (PIA) et l’absence d’information des personnes quant à l’utilisation des données par le laboratoire. Ce dernier contestait toute violation du RGPD, invoquant sa qualité de « sous-traitant ». 

Sur la qualification du laboratoire d’analyses médicales 

La stratégie du laboratoire était simple : puisque tous les manquements qui lui sont reprochés concernent des obligations qui incombent à un responsable du traitement et non à un sous-traitant, il a déclaré à l’autorité de contrôle être un sous-traitant au sens du RGPD. La circonstance selon laquelle les patients étaient envoyés par des médecins – responsables du traitement – devait contribuer, pensait-il, à appuyer sa thèse. Malheureusement, le laboratoire n’a pas réussi à convaincre le Service d’inspection de l’APD. Voyant sa stratégie vouée à l’échec, il a fini par reconnaître, dans ses conclusions de synthèse, sa qualité de responsable du traitement. La Chambre contentieuse, qui n’a pas hésité une seconde, a qualifié la partie défenderesse de responsable du traitement, compte tenu de la détermination, par cette dernière, des finalités et des moyens du traitement. Même si on aurait souhaité que l’APD explique d’avantage son analyse, existait-il réellement un doute sur la qualification de responsable du traitement d’un laboratoire d’analyses médicales, y compris lorsque les analyses sont prescrites par un professionnel de santé ou même adressées par ce dernier au laboratoire ? Non, le doute n’était pas permis. 

Sur le défaut de sécurité du serveur de résultats 

Alors que le serveur de résultats du laboratoire, accessible depuis son site internet, permettait aux médecins d’accéder en temps réel aux résultats et à l’historique des analyses de leurs patients, le Service d’inspection a pu constater, comme le rapportait le plaignant, que ce serveur ne faisait l’objet d’aucun chiffrement puisqu’il utilisait un protocole « http » au lieu d’un protocole « https ». Pour la Chambre contentieuse, l’absence de chiffrement au moment de la plainte constitue une violation du principe d’intégrité et de confidentialité des données, tel que prévu aux articles 5 et 32 du RGPD. 

Sur l’absence d’analyse d’impact 

Après avoir un moment soutenu, comme indiqué supra, qu’il n’était pas tenu de réaliser une analyse d’impact compte tenu de sa qualification de sous-traitant, le laboratoire a, une fois sa qualité de responsable du traitement reconnue, justifié l’absence d’un tel document au motif qu’il n’était pas contraint d’en rédiger un dès lors qu’au moment de la plainte, il ne traitait pas de données personnelles « à grande échelle ». Il reconnaissait, en revanche, que, depuis le COVID-19, le nombre d’analyses avait sensiblement augmenté et qu’il rentrait désormais dans les conditions d’un traitement de données de santé à grande échelle, expliquant ainsi qu’il ait bien réalisé, depuis, une analyse d’impact. 

Selon la Chambre contentieuse, il ne fait aucun doute que la partie défenderesse aurait dû, bien avant le COVID-19 (et donc avant que la plainte ne soit introduite), réaliser une analyse d’impact. En tout de cause, elle aurait dû, ce qu’elle n’a pas fait, documenter les raisons pour lesquelles elle considérait ne pas être tenue de réaliser une telle analyse : « Elle estime qu’elle effectue dorénavant des traitements à grande échelle. La défenderesse aurait dû, sur la base du principe de responsabilité de l’article 24, clarifier son interprétation de la notion de « grande échelle » en indiquant les critères objectifs sur lesquels elle se base pour estimer que ses activités ont fini par entrer dans la catégorie des traitements à grande échelle, alors que selon elle, elles ne remplissaient pas ce critère au départ. »

Sur l’information des patients 

Le dernier grief fait au laboratoire concernait l’absence de politique de protection des données disponible sur son site internet. Pour sa défense, le laboratoire a d’abord invoqué sa qualité de sous-traitant pour expliquer qu’il n’était pas tenu à la moindre obligation d’information à l’égard des patients. Puis, après avoir reconnu l’évidence, il soutenait qu’aucun manquement ne pouvait lui être reproché dès lors qu’un affichage était réalisé dans les centres de prélèvement et que le RGPD n’impose pas qu’une information soit publiée sur le site web. Soulignant que le laboratoire ne rapportait pas la preuve que la politique de protection des données faisait l’objet d’un affichage dans ses centres de prélèvement, la Chambre contentieuse a considéré, qu’en ne publiant pas l’information requise sur son site internet, la partie défenderesse avait violé les articles 12, 13 et 14 du RGPD.

Malgré ces divers manquements, l’APD s’est montrée plutôt clémente en prononçant une amende administrative de 20.000 euros, correspondant à seulement 0,07% du chiffre d’affaires annuel du laboratoire pour l’année 2020[1].


[1] APD, 19 août 2022, 127/2022. 


articles similaires

| Derriennic associés

Quelles modalités de sécurité pour les traitements critiques dans le domaine de la santé ? (DSIH, septembre 2023)

Parce que certains traitements présentent des risques « d’une ampleur particulièrement importante » (les traitements dits « critiques ») et qu’ils sont la cible « des attaquants qui disposent de fortes capacités ou de fortes...

| Derriennic associés

Recherches médicales : et si le RGPD ne s’appliquait (finalement) pas au promoteur de l’étude ? (DSIH, Juin 2023)

Dans une affaire récente[1], le Tribunal de l’Union Européenne a considéré que les données transmises à un destinataire ne peuvent être considérées comme des données personnelles que sous réserve que ce destinataire...

| Derriennic Associés

Le dossier médical à l’épreuve du droit (DSIH, mai 2023)

Par un arrêt du 11 avril 2023, la Cour administrative d’appel de Paris a statué sur la licéité d’un traitement de données à caractère personnel relatif au dossier médical d’un...

| Alexandre Fiévée & Alice Robert

La pseudonymisation et le risque d’atteinte au secret médical (DSIH, février 2023)

Un centre hospitalier peut-il être contraint, en application du Code des relations entre le public et l’administration, de communiquer des documents contenant des données de santé pseudonymisées ? C’est à...

| Derriennic associés

La certification HDS : une condition de validité des contrats informatiques (DSIH, Janvier 2023)

Le défaut de certification HDS peut coûter cher aux éditeurs de logiciel qui sont dans l’incapacité de démontrer la certification HDS de leur hébergeur, dès lors que la prestation offerte...

| Derriennic Associés

Entrepôts de données dans le domaine de la santé, la check-list de la CNIL (DSIH, 14 Novembre 2022)

Le 28 septembre dernier, l’autorité française de protection des données a publié une « check-list » visant à aider les responsables du traitement à vérifier facilement ...