Coronavirus : la protection des données malmenée en télémédecine

CORONAVIRUS : LA PROTECTION DES DONNÉES MALMENÉE EN TÉLÉMEDECINE

Article rédigé le 19 mars 2020 par Me David Lecomte

La télémédecine est une pratique médicale à distance fondée sur l’utilisation des technologies de l’information et de la communication. 

Elle comprend la téléconsultation (entre le patient et son médecin), la téléexpertise (entre professionnels de santé), la télésurveillance (interprétation à distance de données liées à une prise en charge comme actuellement les applications pour le télésuivi des patients porteurs ou suspectés du Covid-19), la téléassistance (appui d’un professionnel de santé par un autre au cours de la réalisation d’un acte) et la régulation médicale (pour les services d’aide médicale urgente et la permanence des soins ambulatoires). 

Le cabinet a évoqué, à plusieurs reprises, les conditions de mise en œuvre de la téléconsultation. Celle-ci devrait sortir de la marginalité dans le contexte du coronavirus qui justifie un assouplissement des conditions de son recours.

Pour autant la facilitation du recours à la téléconsultation ne doit pas mettre en péril nos données à caractère personnel d’autant que la cellule d’accompagnement cybersécurité des structures de santé de l’Agence du numérique en santé a constaté une recrudescence des cyberattaques en exploitant la peur liée à la pandémie.

https://www.houdart.org/coronavirus-publication-dun-decret-assouplissant-lacces-a-la-teleconsultation/

https://www.houdart.org/coronavirus-cybersecurite-la-fin-justifie-t-elle-les-moyens/

https://www.ticsante.com/story/5074/l-ans-alerte-sur-des-cyberattaques-liees-au-coronavirus.html

Comment protéger les données des patients lors d’un acte de télémédecine ? Et qui est ou devrait être responsable de cette protection ?

 

 

L’assouplissement des mesures de sécurité dans le contexte du coronavirus

 

Le contexte du coronavirus amplifie le risque de perdre le contrôle de ses données, qu’elles soient administratives ou médicales.

 

Un relâchement, voire un abandon des mesures de sécurité

 

Désormais, depuis le 10 mars dernier, outre la suppression des obligations de passer par le médecin traitant et d’une consultation présentielle dans les 12 mois précédents, les téléconsultations « peuvent être réalisées en utilisant n’importe lequel des moyens technologiques actuellement disponibles pour réaliser une vidéotransmission (lieu dédié équipé mais aussi site ou application sécurisé via un ordinateur, une tablette ou un smartphone, équipé d’une webcam et relié à internet) ». Cette phrase dans la notice du décret n’est accompagnée d’aucune disposition sur les modalités techniques de réalisation des actes.

https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000041704122&categorieLien=id

Les conditions de sécurité prévues jusque-là peuvent donc ne plus être respectées. Le ministre Olivier Véran a autorisé qu’une ordonnance ou un arrêt de travail soit transmis par un autre médecin que le médecin traitant via FaceTime ou WhatsApp.

Jusque-là, la CNIL exigeait une messagerie sécurisée ou à tout le moins, une messagerie professionnelle avec chiffrement des pièces jointes, excluant ainsi la messagerie électronique personnelle pour les résultats d’analyse et d’examen, les éventuels clichés, images, photos et autres supports numériques nécessaires à la réalisation d’un acte.

Si l’échange de données était opéré via une plateforme d’échange temporaire, celle-ci devait présenter les mêmes garanties qu’une messagerie sécurisée.

https://www.cnil.fr/fr/telemedecine-comment-proteger-les-donnees-des-patients

Bref, le responsable de traitement devait pouvoir démontrer la conformité du traitement de télémédecine mis en œuvre aux exigences du RGPD et de la loi Informatique et Libertés, mais pas seulement…

Il y également les exigences du Code de la santé publique, celles des dispositions relatives aux référentiels de sécurité et d’interopérabilité des données de santé ou des dispositions relatives à leur hébergement, le respect des règles de coopération, les contraintes liées aux spécialités médicales…

Concrètement le responsable de traitement devait adapter les mesures de sécurité physique et logique mises en place, par exemple en veillant à un dispositif d’authentification forte, à des niveaux d’habilitation différenciés en fonction des besoins des utilisateurs et à la mise en place d’un dispositif de gestion des traces et incidents.

Ces mesures de sécurité sont aisément compréhensibles au regard du risque de dispersion des données, de la sensibilité de celles-ci et du secret médical.

À défaut de sécurité, la tentation serait forte pour cibler des publicités, rançonner, voire altérer la santé d’un patient.

Aujourd’hui, malgré ces risques, l’Agence du numérique en santé confirme, suite à la parution du décret, la possibilité d’utiliser exceptionnellement et temporairement tout outil, même non référencé :

« Les professionnels sont tenus d’utiliser des outils (qu’ils soient référencés ou non), respectant le règlement général sur la protection des données (RGPD), la réglementation relative à l’hébergement des données de santé (HDS) et la politique générale de sécurité des systèmes d’information en santé (PGSSI-S). Toutefois, en cas d’impossibilité et exclusivement dans le cadre de la réponse à l’épidémie de COVID-19 les professionnels peuvent utiliser d’autres outils (arrêté du 17 mars 2020). »

https://esante.gouv.fr/actualites/solutions-teleconsultation

 

Des mesures de sécurité des données et de filtrage des patients à géométrie variable

 

Les solutions techniques de télémédecine dans le contexte du Covid-19 sont donc aujourd’hui pléthoriques avec l’utilisation des outils courants de communication à distance en plus des plateformes numériques existantes. Nous avons cité FaceTime (Apple) ou WhatsApp (Facebook), outils cités par le ministre des Solidarités et de la Santé, mais les particuliers utilisent aussi Hangouts (Google) et Skype (Microsoft). Toutes ces solutions ont suscité des inquiétudes de la part de la CNIL et de ses homologues européennes qui ont pu constater les insuffisances de leur politique de protection et de confidentialité des données.

Consciente des risques pour les données des télépatients, l’Agence du numérique en santé tente toutefois de réguler le maquis des solutions numériques (logiciels, plateformes, accès web, applications spécifiques), en les classant selon des indicateurs de sécurité. Encore faut-il que l’éditeur accepte ce recensement et que le médecin, l’infirmier ou la sage-femme choisisse une solution parmi les mieux classées.

Le 19 mars, quarante solutions obtenaient la note de dix, trente-deux la note de neuf-neuf et demi. Neuf solutions obtenaient une note comprise entre trois et cinq.

La note a été calculée de la façon suivante :

  • 2 points pour la conformité RGPD,
  • 2 points pour la certification HDS (Hébergeur des Données de Santé),
  • 1 point pour la traçabilité de l’historique des actes,
  • 1 point pour la sécurisation des flux vidéo ou de données (ex. chiffrement TLS),
  • 1 point pour l’indentification du patient (au moins 5 traits d’identité),
  • 1 point pour l’authentification renforcée du patient (au moins 2 facteurs d’authentification),
  • 1 point pour l’indentification du professionnel (vérification du droit d’exercer),
  • 1 point pour l’authentification renforcée du professionnel (au moins 2 facteurs d’authentification, CPS ou eCPS).

https://abonnes.hospimedia.fr/articles/20200319-e-sante-le-ministere-de-la-sante-publie?utm_campaign=EDITION_QUOTIDIENNE&utm_medium=Email&utm_source=ExactTarget

 

Par ailleurs, au-delà des questions de sécurité, se pose la question du filtrage des patients.

Doctolib offre certes plus de maturité de sécurité ou de cryptage que les solutions gratuites et transite par des hébergeurs certifiés de données de santé. La licorne n’aurait d’ailleurs pas accès aux données de santé. Les données sont intégralement chiffrées et stockées par des hébergeurs agréés ou certifiés de données de santé (AZNetwork, Coreye et Amazon Web Services).

Pour autant, Doctolib, leader de la téléconsultation en France, refuse d’appliquer à la lettre l’assouplissement du recours à la téléconsultation.

Les personnes atteintes ou potentiellement infectées par le coronavirus peuvent bénéficier de la téléconsultation même si elles n’ont pas de médecin traitant pratiquant la téléconsultation ni été orientées par lui ni été connues du médecin téléconsultant.

Or la téléconsultation sur Doctolib n’est possible qu’avec le médecin traitant, sous réserve que celui-ci l’ait vu dans les 24 ou 36 derniers mois. Nous pourrions nous interroger sur la légitimité et les motivations de cette réticence…

 

Le fondateur de Doctolib, Stanislas Niox-Château, a expliqué :

« Cette mesure, nous ne l’avons pas appliquée. La téléconsultation sur Doctolib n’est possible que si vous connaissez déjà le médecin. Nous avons élargi un peu le cadre de l’avenant 6 à la convention médicale ce 11 mars si un patient veut téléconsulter avec son médecin traitant qu’il n’aurait pas vu dans les 12 derniers mois mais dans les 24 ou 36 mois ». Il ajoute : « nous n’avons pas ouvert cette mesure aux nouveaux patients même si le décret le permet car nos médecins ne sont pas favorables à l’idée de suivre par vidéo-consultation des patients qu’ils n’ont jamais vus et la procédure de télétransmission à la Cnam n’est pas encore claire ».

https://www.ticsante.com/story/5064/coronavirus-doctolib-installe-une-cellule-dediee-a-la-teleconsultation-(stanislas-niox-chateau).html

 

Le rappel sécuritaire de la Fédération Hospitalière de France

 

La crise du COVID-19 est l’occasion pour les hackers de redoubler d’imagination aux fins d’infection des systèmes d’information hospitaliers en utilisant un cheval de Troie, en trompant l’utilisateur par une fausse page Internet, etc., pour demander une rançon ou dérober des informations concernant les patients.

Il convient donc d’être vigilant pour ne pas ajouter une cyberattaque à la gestion du Covid-19.

La FHF rappelle quelques règles de bonne hygiène informatique, particulièrement sensibles en période de crise :

  • Vérifier quotidiennement le bon déroulement des sauvegardes (si possible test de restauration)
  • Vérifier quotidiennement des logs des FW et proxy
  • Rappeler aux télétravailleurs l’extrême vigilance dont ils doivent faire preuve, surtout s’ils utilisent un poste personnel (OS et antivirus à jour, ne pas ouvrir de message suspect, se déconnecter du réseau hospitalier dès que le travail est fini, …)
  • Faire une déclaration pour chaque incident sur les systèmes d’information, sur signalement-sante.gouv.fr.

Cette dernière recommandation est particulièrement utile en cas d’attaque afin de partager les informations rapidement entre les établissements et éviter toute contagion.

Pour rappel, le site https://www.cyberveille-sante.gouv.fr/est là pour vous accompagner (cf. fiche prévention exposition sur Internet).

 

 

Vers un meilleur partage des responsabilités en télémédecine ?

 

Conformément au principe d’accountability, le responsable d’un traitement de télémédecine doit veiller à protéger l’identification du patient, le NIR constituant l’Identifiant National de Santé (INS) à compter du 1erjanvier 2021 en lieu et place des systèmes épars d’identification.

Nous l’avons dit dans la première partie de cet article, le responsable de traitement doit également mettre en place un dispositif de sécurité renforcé.

Mais qui est le responsable de traitement ?

 

La matrice des responsabilités entre une plateforme de téléconsultation et le professionnel de santé

 

Les professionnels et établissements de santé seraient les responsables de traitement au motif que ce sont eux qui décident d’utiliser une solution numérique. Pourtant, les fournisseurs de solution de télémédecine participent souvent au choix des moyens structurants du traitement…

Qui est responsable de quoi ?

Comme le précisait le groupe de travail « article 29 » sur la protection des données en 2010, « La même entité peut agir à la fois en qualité de responsable du traitement pour certaines opérations de traitement et en tant que sous-traitant pour d’autres opérations, et la qualification de responsable ou de sous-traitant doit être évaluée au regard d’un ensemble spécifique de données ou d’opérations. ».

C’est ainsi que semblent raisonner les plateformes.

Par exemple, la politique de protection des données de Doctolib précise que le responsable du traitement des données personnelles est « chaque professionnel de santé avec lequel un rendez-vous de téléconsultation est pris. Doctolib est sous-traitant : il agit sur instruction particulière de chaque professionnel de santé ». En revanche, « pour les données personnelles collectées dans le cadre de la création du compte personnel de l’utilisateur, sa navigation sur le site ou l’application et la création de statistiques relatives à l’utilisation de l’outil, leur computation et leur anonymisation », Doctolib est responsable de traitement.

Quant à l’hébergeur de données de santé, il serait un sous-traitant du sous-traitant dit « sous-traitant ultérieur ».

Ce découpage est quand même très abstrait compte tenu que toutes les opérations du traitement sont consubstantielles. Il est source de contentieux car le professionnel de santé est le premier des responsables par exemple si un hébergeur ne respectait pas ses obligations alors même que le professionnel de santé n’aurait pas contracté directement avec celui-ci.

En effet, dans le droit spécial de la protection des données, c’est le responsable de traitement qui, en première intention, engage sa responsabilité (pénale, civile et disciplinaire) en cas de non-conformité même s’il peut s’en exonérer en invoquant le fait de son sous-traitant s’il est pleinement responsable du défaut de conformité.

C’est le responsable de traitement, par exemple, qui vérifie si la base juridique du traitement est bien adéquate ou qui veille à ce que les mesures de sécurité nécessaires soient bien adoptées.

L’arrêt du Conseil d’Etat du 11 mars 2015 (n° 368748) et dont la portée est toujours d’actualité dans le contexte du RGPD, précise bien que si « le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité (…), cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures. ».

La protection des données du patient prime et si ce dernier a eu recours à une solution numérique, c’est d’abord parce que le professionnel a pu ne pas lui laisser le choix pour la téléconsultation et, de surcroît, ce patient a toute confiance au professionnel de santé dans le choix des outils utilisés.

Donc le patient ayant subi un dommage matériel ou moral du fait d’une violation du RGPD doit pouvoir demander la réparation de son préjudice, indistinctement au responsable de traitement ou au sous-traitant. Le dispositif de responsabilité in solidum est tout à fait adapté au droit à réparation, à charge pour l’acteur visé d’exercer une action récursoire s’il le juge utile.

Mais si le professionnel de santé exerçant à titre individuel était condamné à réparer intégralement le dommage subi, aurait-t-il la capacité et l’énergie pour poursuivre ensuite le responsable de l’outil de communication ?

En plus, une plateforme dédiée à la téléconsultation pourrait invoquer nombre de clauses audacieuses en sa faveur et reprocher au professionnel de santé de ne pas avoir exercé son « droit d’audit » prévu par le RGPD…

Il serait intéressant d’ailleurs de connaître les modalités d’audit offertes aux dizaines de milliers de responsables de traitement que seraient les professionnels de santé vis-à-vis des plateformes qui proposent la mise en place de téléconsultations puisque le RGPD invite fortement les responsables de traitement à réaliser de telles opérations vis-à-vis de leurs sous-traitants.

Les plateformes de téléconsultation semblent donc, comme beaucoup de prestataires, limiter contractuellement leurs responsabilités à un niveau excessif « en chargeant la barque » du professionnel de santé.

 

Le professionnel de santé, le responsable de traitement idoine ?

 

De sa qualité découleront sa responsabilité mais également les garanties à mettre en place pour conserver, échanger ou partager des données de santé. La question présente un fort intérêt car la CNIL et le juge ne seront pas tenus par la qualification contractuelle.

La frontière entre les rôles de responsable de traitement et de sous-traitant est très subtile et surtout toujours débattable.

Or le RGPD exige d’identifier les rôles respectifs et de qualifier leurs relations. En effet, la qualification des acteurs peut entraîner de lourdes conséquences. Pour autant, la qualification ne peut résulter de la seule qualification contractuelle décidée entre les parties d’autant que celles-ci ne sont pas sur un pied d’égalité pour en débattre…

 

  • Le responsable de traitement, une notion fonctionnelle

Il faut d’abord se poser la question suivante pour s’en tenir à la définition du responsable de traitement : qui détermine les finalités (le « pourquoi ») et les moyens (le « comment ») des traitements ?

Le terme « finalité » désigne « un résultat attendu qui est recherché ou qui guide les actions prévues » et le mot « moyen », « la façon de parvenir à un résultat ou d’arriver à une fin ».

En l’espèce, si nous prenons l’exemple du leader de la téléconsultation, Doctolib a un quasi-monopole des moyens techniques et humains liés à la mise en œuvre de la téléconsultation. Avant la crise du coronavirus, 90% des téléconsultations remboursées transitaient par Doctolib qui, depuis, a installé une cellule dédiée à la téléconsultation, composée d’une centaine de salariés de la société pour accompagner les médecins …

Mais encore ?Quels sont les autres indices ou critères à rechercher pour déterminer la qualification ?

La présomption de qualification d’un sous-traitant d’une plateforme pourrait être renversée au vu des critères suivants :

 

  • le niveau des instructions préalables données par le professionnel de santé

Le niveau d’instruction du professionnel de santé est toujours faible, voire nul.

Nous constatons bien que les plateformes comme Doctolib disposent d’une large autonomie dans la détermination des moyens.

Elles proposent une solution achevée et le médecin est généralement simplement formé par une documentation en ligne.

Ce sont aussi les plateformes qui détaillent dans un contrat d’adhésion, les mesures de sécurité et les modalités de traitement (les moyens) au cours de l’exécution de la prestation. Les plateformes choisissent l’hébergeur de données de santé.

Or plus le niveau d’instruction du professionnel de santé est faible, plus le prestataire est susceptible d’endosser la qualité de responsable de traitement.

 

  • le degré de contrôle de l’exécution des prestations

Il est illusoire de penser que le professionnel de santé exercera un contrôle permanent et rigoureux sur le traitement de données de Doctolib, d’autant qu’il y a trois hébergeurs.

Le professionnel de santé ne sera pas en capacité de surveiller la réalisation de la prestation. Il n’aura pas de réel pouvoir de contrôle et d’audit.

Certes le prestataire ne pourra utiliser les données pour ses propres besoins ou les utiliser au profit d’autres clients. Dans tous les cas, le fait de ne pas avoir accès aux données n’est pas de nature à écarter la qualification de responsable de traitement.

De plus, comme nous l’avons dit plus haut, Doctolib a même décidé de ne pas appliquer à la lettre le décret d’assouplissement d’accès à la téléconsultation. La société a donc décidé d’opérer un filtrage plus restrictif des télépatients.

Par ailleurs, le professionnel de santé peut être soucieux du droit à l’oubli en souhaitant maîtriser les durées de conservation, par exemple 30 jours pour le prescripteur ou 90 jours pour le professionnel de santé qui réalise l’acte de télémédecine. Mais le fournisseur d’un dispositif de télémédecine peut-il individualiser les durées de conservation ? Nous ne le croyons pas, même si le prestataire ne doit pas pouvoir réutiliser les données à d’autres fins.

 

  • la valeur ajoutée ou l’expertise du prestataire

Les finalités du traitement relèvent exclusivement de l’expertise approfondie de Doctolib en matière de traitement de données. Plus cette valeur ajoutée est importante, plus la qualification de responsable de traitement est susceptible d’être appliquée au prestataire.

Ce n’est pas le professionnel de santé qui choisit l’infrastructure technique de l’hébergement des données de santé, ni même de la téléconsultation. Et Doctolib n’a pas procédé à des développements spécifiques pour répondre aux besoins du professionnel de santé.

 

  • la transparence

Si nous reprenons l’exemple de Doctolib, sa visibilité ne fait aucun doute. Plus le patient a connaissance de l’existence et de l’identité du prestataire, plus celui-ci sera susceptible d’être qualifié de responsable de traitement. Le patient a l’application Doctolib en permanence sur son smartphone ! Et il doit s’adresser à Doctolib pour exercer ses droits…

Ainsi, par exemple, le télépatient peut demander à la plateforme d’accéder aux traces de connexion réalisées sur son télédossier.

Il y a donc largement un faisceau d’indices en faveur de la désignation d’un fournisseur de dispositif de télémédecine telle la société Doctolib comme responsable de traitement. Ce fournisseur, à l’origine du traitement, signe les études d’impact sur la vie privée, décide de la nature des données répertoriées, détermine les modalités d’alimentation et de consultation, détermine les droits d’accès des personnes habilitées, fixe les durées de conservation, apporte les correctifs au traitement, élabore l’algorithme permettant le traitement des données…

Les actions du professionnel de santé sont véritablement marginales et ne justifient pas qu’il porte la casquette de responsable de traitement, aussi minime serait-elle.

 

La responsabilité conjointe, plus protectrice du professionnel de santé

 

A supposer que le professionnel de santé ne soit pas le responsable de traitement, comment organiser les responsabilités ?

 

Hypothèse 1 : la plateforme, responsable de traitement et le professionnel de santé, destinataire

Ne pourrions-nous pas considérer que les plateformes soient pleinement responsables de traitement et les professionnels de santé de simples destinataires ?

Etonnamment les politiques de protection des données des plateformes ne listent pas les destinataires.

Le destinataire est celui qui reçoit communication de données. Ses accès sont limités aux seules données strictement nécessaires à l’exercice de ses missions. Le destinataire n’a pas les obligations prévues pour un responsable de traitement ou un sous-traitant. Au mieux il est lié par un engagement de confidentialité.

Ainsi nous pourrions considérer que la plateforme réalise le traitement de données et les transmet ensuite dans le cadre d’un contrat, au professionnel, destinataire des données. Le professionnel a un abonnement mensuel pour simplement être utilisateur d’une solution d’échange à distance. En aucun cas, il a la main pour déterminer les finalités et les moyens de cette solution. Au plus, il renseigne ses créneaux d’ouverture et ajoute éventuellement des informations pratiques ou professionnelles.

 

Hypothèse 2 : plateforme et professionnel de santé, responsables conjoints

Le compromis pourrait être que les plateformes soient a minima responsables de traitement conjoints avec le professionnel de santé lorsque celui-ci l’est.

La qualification des acteurs d’un traitement de données est délicate mais impérative pour construire la matrice des responsabilités.

L’approche pragmatique de la CNIL ou du juge reposant sur l’analyse des circonstances concrètes et en se plaçant du point de vue du patient primera sur les excentricités contractuelles.

Aussi les prestataires ne doivent profiter ni de la complexité de ce travail de qualification ni du contexte du coronavirus pour minimiser leurs responsabilités.

Sans viser les plateformes de téléconsultation, il faut savoir que non seulement des prestataires cherchent à échapper à la qualification de responsable de traitement mais qu’en plus, lorsque ces prestataires se qualifient unilatéralement de sous-traitants dans le contrat, ils sont suffisamment imaginatifs pour contourner le RGPD : ils commencent à imposer des clauses de plafonnement de responsabilité !

Par ailleurs, est intéressant un exemple de l’avis, certes un peu ancien, du G29 n° 1/2010 (WP169) du 16 février 2010 sur les notions de « responsable du traitement » et de « sous-traitant ».

Cet exemple concerne les « plateformes de gestion des données médicales » mise en place par un Etat pour favoriser l’échange de données entre des prestataires de soins de santé.

Les conclusions du G29 étaient les suivantes.

 

« La pléthore de responsables du traitement (plusieurs dizaines de milliers) se traduit par une situation tellement floue pour les personnes concernées (les patients) que la protection de leurs droits serait menacée. En effet, ces personnes ne sauraient pas vers qui se tourner pour introduire une réclamation, poser des questions ou demander des informations, une rectification ou l’accès à leurs données à caractère personnel. En outre, l’administration publique est chargée de la conception du traitement et de la façon dont il est utilisé. Compte tenu de ces éléments, l’administration publique ayant mis en place le point d’échange doit être considérée comme un coresponsable, mais également comme un point de contact pour les demandes des personnes concernées. ».

« Dans cette perspective, l’évaluation de la coresponsabilité doit tenir compte, d’une part, de la nécessité de garantir le plein respect des règles de protection des données et, d’autre part, du fait que la multiplication des responsables du traitement risque d’aboutir à une complexité non souhaitable et à un manque de clarté dans la répartition des responsabilités. L’intégralité du traitement pourrait en devenir illicite, par manque de transparence, et il en résulterait une violation du principe de traitement loyal. ».

Comme l’écrivait le G29, le premier rôle du responsable de traitement est de déterminer qui est chargé de faire respecter les règles de protection des données et comment les personnes concernées peuvent exercer leurs droits. Les plateformes de téléconsultation assument pleinement ce rôle et les professionnels de santé n’exercent aucune influence dans ce rôle.

Enfin, pourrait être transposé le raisonnement du Conseil d’Etat dans l’arrêt Foncia du 12 mars 2014 (n° 354629) : en effet, le considérant pourrait être le suivant…

« En ce qui concerne la qualité de responsable de traitement :

Considérant, en premier lieu, que si la société requérante soutient qu’elle ne saurait être regardée comme responsable du traitement contesté au sens des dispositions de l’article 4 du Règlement (UE) 2016/679, aux termes desquelles est ” « responsable de traitement », la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; ” et que, par suite, la CNIL aurait commis une erreur de droit en lui infligeant une sanction, en méconnaissance de ces dispositions et du principe de personnalité des peines, applicable aux sanctions administratives, il résulte de l’instruction que la plateforme qui a mis à disposition des professionnels de santé qui lui sont liés par un contrat, un traitement de téléconsultation, a décidé non seulement des choix techniques mais aussi des moyens structurants  du traitement et a déterminé les droits d’accès à celles-ci, a fixé les durées de conservation et apporté des correctifs au traitement ; qu’ainsi, la société détermine les finalités et les moyens du traitement ; que la société ne peut être regardée comme sous-traitant au sens des dispositions de l’article 28 du Règlement (UE) 2016/679 ; que, par suite, en estimant que la société pouvait faire l’objet d’une sanction en tant que responsable de ce traitement, la CNIL a fait une exacte application des dispositions précitées ; »…

Ce considérant pourrait ne pas rester fictif d’autant que les médecins, infirmiers, sages-femmes et hôpitaux n’ont pas le temps en ce moment de se poser la question de l’identification des responsables de traitements ou de la pertinence des mesures de sécurité !