Le 11 février 2013, Madame W. fait des recherches sur Internet, et, par curiosité, tape ses nom et prénom sur le moteur de recherche Google. Elle voit s’afficher l’inscription « dossier enfant » avec son numéro de sécurité sociale. En cliquant sur ce résultat, elle arrive sur le site « http://www.dbsi.eu », qui comporte d’autres noms et prénoms précédés d’un numéro de sécurité sociale…

Elle clique sur le sien, et découvre le dossier médical de son fils, Jean-François, prématuré né à l’hôpital Nord de Marseille, le 22 juin 2008. Elle constate qu’elle peut aussi accéder aux autres, et même les modifier ou les supprimer.

Le lendemain matin, elle porte plainte contre l’hôpital, pour violation du secret professionnel. Le directeur de l’hôpital, avisé de sa découverte, indique aux gendarmes qu’il a retrouvé le responsable du serveur incriminé, Hosteur.com, et qu’il lui a demandé de fermer le site, ce qui a été fait.

L’Office Central de Lutte contre les Atteintes à l’Environnement et à la santé Publique, fournit aux gendarmes un document qui expose le statut particulier des données de santé. Il s’agit d’informations sensibles nécessitant un haut niveau de sécurité, en vertu de la loi Informatique et Liberté du 16 janvier 1978.
Elles ne peuvent être divulguées qu’à des personnes habilitées pour ce faire, en raison de leurs fonctions, sous peine de sanctions.
Les réseaux de santé qui souhaitent mettre en œuvre un dossier médical partagé accessible via internet par les professionnels de santé doivent notamment effectuer une demande d’autorisation préalable auprès de la Commission nationale de l’informatique et des libertés (Cnil).
En outre les hébergeurs de données médicales doivent être agréés.

Base de donnée sur les prématurés

Aux termes d’une enquête diligentée en interne, il apparaît que la responsable de la base de données litigieuse est le docteur Y., responsable de l’Unité fonctionnelle de néonatalogie et du Pôle réanimation néonatale du professeur S., à l’Hôpital Nord de Marseille. Pour mieux suivre les grands prématurés, elle avait organisé la collecte d’informations sur la grossesse de leurs mères et sur leur devenir, jusqu’à l’âge de trois ans. Les informations étaient réservées aux professionnels médicaux.

Mme Y a travaillé à ce projet depuis 2007. En 2008, sans avoir reçu l’autorisation de la Cnil, elle a fait appel à la société DBSI, gérée par M. Z, pour la création du portail de saisie des données. Le portail de saisie était hébergé chez l’hébergeur Hosteur.com, bien que celui-ci n’ait pas d’agrément pour les données de santé.

Mme Y affirme que la direction du service informatique de l’Assistance Publique des Hôpitaux de Marseille était informée du fait que DBSI recevait ces données médicales.

Tribunal correctionnel

Suite à la plainte de Mme W et du directeur des affaires juridiques de l’hôpital, plusieurs personnes sont renvoyées devant le tribunal correctionnel de Marseille : Il s’agit de la pédiatre, Mme Y, du gérant de DBSI, M. Z , mais aussi du responsable de la Direction des systèmes d’information et de l’organisation de l’HP-HM, M. X. Ce dernier est poursuivi pour n’avoir pas assuré la confidentialité des dossiers médicaux des personnes hospitalisées dans l’unité de néonatalogie en participant à leur externalisation. Il affirme que son service n’ayant ni le temps ni les ressources nécessaires pour développer le projet de Mme Y, celle-ci l’a mené à bien seule, et à son insu.

Le tribunal rend son jugement le 7 juin.

La pédiatre, Mme Y, est déclarée coupable d’avoir procédé à un traitement automatisé de données à caractère personnel sans autorisation préalable de la Cnil. Elle est condamnée à une peine d’amende de 5 000 euros.

M. X est relaxé: « Malgré les déclarations constantes de ses co-prévenus, force est de constater qu’aucun document ne vient démentir ses affirmations également constantes selon lesquelles il n’a pas eu connaissance de l’externalisation effective des données médicales, et de leur hébergement chez un hébergeur non agréé. »

M. Z, gérant de la Sarl DBSI, est poursuivi pour avoir fait héberger les données de santé chez un hébergeur non agréé. Mais comme aucun texte ne sanctionne ce fait, il est relaxé.

L’hébergeur aurait pu être condamné, mais il n’a pas été poursuivi.