Communiqué de presse

Health Data Hub : De la connaissance du Parquet en matière de protection des données

26 avril 2022 /

Il y a plus d’un an, un recours administratif a été adressé à la CNIL (Commission Nationale Informatique et Libertés) le 24 novembre 2020, complété le 9 juillet 2021. Il portait sur le non respect du droit d’opposition au traitement des données personnelles de santé (art.21 du RGPD) d’une personne concernée par la CNAM (Caisse Nationale d’Assurance Maladie), identifiée par la loi comme co-responsable du traitement et interlocuteur pour les oppositions au traitement, en date du 2 juin 2021. Cette infraction a été reconnue par la CNIL qui a déclenché une injonction auprès de la CNAM pour exécution de l’exercice des droits demandé.

Le 20 juillet 2021 et de manière subséquente à cette position de la CNIL, un signalement pour possible infraction pénale a été présenté à la Procureure de la République de Quimper concernant le Health Data Hub / Plateforme des Données de Santé (PDS), en vertu de l’article 40 du code de la procédure pénale et au titre du non respect condamné par les articles 226-18-1 et 226-19-1 du Code Pénal. Cette plainte a été classée sans suite par la Procureure de Quimper, malgré l’absence d’audition de la partie ayant signifié l’infraction, et la présentation de documents probants produits lors du recours CNIL et considérés par celle-ci comme recevables. L’argument principal est l’absence d’infraction constatée.

Cette situation très étonnante, opposant l’interprétation du Parquet (Procureure) à la décision de la CNIL, 0D s’est positionnée pour porter un recours de la décision de la Procureure de Quimper près le Procureur Général de la République de Rennes au titre de l’article 40-3 du code de procédure pénal, le 12 décembre 2021. Ce dernier a refuser de revenir sur le classement sans suite, par absence de données à caractère personnel dans le dossier, puisque les données auraient été anonymisées préalablement au transfert à la PDS. Pourtant la loi instituant le PDS indique bien que des données à caractère personnel sont transférées de la CNAM à la PDS. La loi indique pourtant clairement que le mécanisme mis en œuvre est une pseudonymisation et non une anonymisation. La CNIL est claire sur le sujet « L’anonymisation ne doit pas être confondue avec la pseudonymisation. » Le Conseil d’État lui-même a condamné le Gouvernement à propos du Health Data Hub sur la base de son traitement de données à caractère personnel visé ici par la plainte pénale.

0D appelle à un alignement des Parquets sur l’expertise de la CNIL, autorité la plus compétente en matière de protection des données en France, de manière à ce que le traitement des affaires pénales soient alignées avec celui des recours administratifs quand les textes de référence sont équivalents.

0D appelle le Parquet de Quimper à revoir sa position sur ce signalement pénal, car l’infraction est toujours caractérisée, de manière à défendre l’État de droit en matière de protection des droits et libertés fondamentales sur lesquelles est fondée l’Union Européenne, eu égard à la protection des données.

Les données concernant notre santé individuelle sont nos données inaliénables et leur protection doit assurer la confidentialité absolue des soins. Des données dé-identifiées (pseudonymisées) ne sont, en droit comme en technique, pas des données anonymisées, n’en déplaise aux Procureurs et malheureusement pour toutes les personnes concernées qui, ainsi, auraient été mieux protégées. La confusion en droit pénal est une triste erreur.

Le 26 avril 2021
Association 0D

Plainte CNIL
Plainte Pénale à la Procureure de Quimper
Classement sans suite de la Procureure de Quimper
Appel au Procureur Général de Rennes
Rejet de l’appel par le Procureur Général de Rennes

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *