Publication de photos de patients sur internet : des données de santé ?
Article rédigé le 5 février 2024 par Raphaël Cavan
Instagram, Facebook, Tik Tok, X (ex-Twitter), ou encore des publications sur un site internet … La communication des établissements de santé et médico-sociaux fourmille en ligne ! Pour autant avez-vous pu penser un seul instant que les photographies et vidéos que vous publiez pouvaient être en réalité, selon les cas, des données de santé ? Nous ne parlons pas ici d’émojis mais bien de données personnelles au sens du RGPD. Alors, avez-vous l’œil pour reconnaitre un traitement de données de santé ? Voyons cela.
Une décision rendue par l’autorité de contrôle danoise, la Datatilsynet (équivalente de notre CNIL), nous amène aujourd’hui à revoir les base du RGPD.
Un établissement de santé, la Aarhus University Hospital, réalisait régulièrement la promotion de son activité via des publications de photos et de vidéos de ses patients, de leurs proches, ainsi que des membres de son personnel sur son compte Instagram (15.000 followers)
Le consentement écrit des patients à ce que leur image soit diffusée en ligne avait été au préalable collecté par l’établissement qui veillait avant toute publication à ce que d’éventuelles informations personnelles, telles que les noms et prénoms du patient affichés sur les monitors ou sur les bracelets accrochés à leur poignet, n’apparaissent pas en ligne.
L’analyse de l’autorité a néanmoins conclu à l’existence d’un traitement de données de santé, et a déclaré celui-ci illicite pour défaut de base légale. Pourquoi ? Découvrons-le ensemble.
Quand un traitement de données en cache un autre
Avant d’entrer dans le vif du sujet, rappelons le contexte et les moyens permettant d’identifier une donnée à caractère personnel de santé.
La théorie
Lorsqu’un établissement de santé communique sur les réseaux sociaux ou sur son site internet à l’aide de photos et/ou vidéos sur lesquelles apparaissent des patients/résidents, l’établissement réalise alors un traitement de données à caractère personnel. Jusqu’ici tout va bien.
Pour autant, la communication de ce type de publication est susceptible de comporter des données de santé des patients/résidents lorsque des éléments autour de la publication permettent de déduire des informations sur leur état de santé.
C’est le sens de la décision de l’autorité danoise qui a mis en pratique la méthode d’identification d’une donnée sensible au sens de l’article 9 du RGPD, telle qu’une donnée de santé, utilisée par la CJUE dans sa décision rendue le 1er aout 2022 : le critère de la déduction. XXX.
Cette méthode d’identification complète celle traditionnellement retenue visant à identifier des données sensibles par nature. A titre d’exemple, des données de santé sont des données sensibles au sens de l’article 9 du RGPD, et peuvent être identifiées « par nature », notamment lorsque l’information traitée est directement en lien avec l’état de santé physique ou mentale de la personne (prise de sang, ordonnance, analyse, …).
Le critère de la déduction utilisé par la CJUE permet quant à lui de déduire au terme d’une opération intellectuelle de déduction ou de recoupement des informations qu’une donnée est une donnée sensible selon le contexte dans lequel les informations à disposition sont exploitées.
Dans le cas qui s’était présenté à la CJUE, une déclaration d’intérêts privés est susceptible de constituer un traitement de données sensibles dans les cas où le déclarant au moment de renseigner des informations concernant son partenaire, conjoint ou concubin possède le même sexe que le sien. Il est ainsi logique à partir de ces éléments de déduire l’orientation sexuelle du déclarant et celle de son proche.
La pratique
Et c’est donc sur la base de cette méthode de déduction que s’est fondée l’autorité de contrôle danoise pour identifier la présence de données de santé lors de la publication de photographies et vidéos de patients mises en ligne par l’hôpital danois.
En effet les photographies et les vidéos diffusées des patients de l’hôpital danois sur son compte Instagram constitue bien, selon l’autorité danoise, des données à caractère personnel de santé, dans la mesure où ces publications permettent dans la majorité des cas de faire le lien entre la personne hospitalisée et sa pathologie.
Les publications réalisées par l’établissement sont généralement accompagnées d’informations portant sur le département de l’hôpital dans lequel se trouve le patient, ou bien sur l’objet même de l’examen réalisé sur lui.
La notion de donnée de santé s’apprécie donc au cas par cas.
Les exigences particulières d’un traitement de données de santé
Maintenant que nous savons identifier une donnée de santé, intéressons-nous désormais à la réglementation spécifique qui l’encadre.
La théorie
Pour être licite, un traitement de données à caractère personnel, données de santé ou non, doit reposer sur l’une des six bases légales prévues par l’article 6 du RGPD, parmi lesquelles nous retrouvons le consentement de la personne concernée.
Pour traiter des données de santé, et toutes données sensibles de manière générale, il convient, outre la base légale de l’article 6 d’identifier une exception permettant de justifier la mise en œuvre du traitement de telles données. En effet, en principe, un traitement qui porterait sur des données de santé est interdit sauf lorsqu’une exception prévue par l’article 9 alinéa 2 du RGPD est soulevée par le responsable de traitement.
Parmi ces exceptions, nous retrouvons encore une fois le consentement de la personne concernée à ce que ses données de santé soient traitées.
La pratique
Dans le cas de l’affaire qui s’était présentée à l’autorité de contrôle danoise, l’hôpital danois avait fondé son traitement de données visant la communication sur les réseaux sociaux sur la base légale du consentement de ses patients. À cette fin, l’hôpital danois avait recueilli l’accord écrit de ses patients à ce que leur image soit diffusée en ligne.
Quand bien même, l’hôpital n’avait pas conscience de traiter des données de santé en publiant les photographies et vidéos de ses patients, le consentement aurait pu ainsi constituer la base légale du traitement et l’exception au traitement de données de santé et ainsi permettre à l’hôpital d’assurer la conformité de son traitement au RGPD. Et bien non, et l’analyse de l’autorité de contrôle danoise nous explique pourquoi.
En effet, le consentement lorsqu’il sert de base légale, et par la même occasion de justification à la poursuite d’un traitement de données de santé, doit répondre à certaines conditions prévues par l’article 7 du RGPD pour être valable.
Parmi ces conditions, nous retrouvons notamment le fait que le consentement doit être donné librement par la personne concernée, c’est-à-dire, que le consentement ne doit pas conditionner « l’exécution d’un contrat » ou « la fourniture d’un service », et que la personne concernée peut à tout moment, s’il le souhaite, retirer son consentement. À titre d’illustration et de comparaison, le traitement de données effectué pour les besoins de recrutement d’un établissement ne peut pas se fonder sur le consentement du candidat, dans la mesure où un refus ou retrait de leur part pourrait compromettre leurs chances d’obtenir un emploi. Or, dans le cas de l’autorité danoise, celle-ci a considéré que les conditions dans lesquelles le consentement des patients avait été recueilli ne permettaient pas de garantir qu’ils disposaient de leur libre arbitre au moment de signer, dans la mesure où ces derniers étaient placés dans une « relation asymétrique » avec l’hôpital danois chargé de leur prise en charge médicale. Selon l’autorité danoise, une forme de pression pouvait exister et être exercée sur le patient au moment de recueillir son accord.
Dès lors, si l’hôpital danois ne pouvait pas se fonder sur le consentement du patient, quelle autre base légale pouvait-il exploiter ? L’intérêt légitime semble être une base légale plus adaptée pour ce type de traitement visant à communiquer sur les réseaux sociaux et sur un site internet des publications pouvant contenir des données personnelles.
Pour autant, cela ne résout pas le problème de l’exception invoquée pour justifier un traitement de données de santé. Mise à part le consentement, quelle autre exception de l’article 9 du RGPD pourrait invoquer l’hôpital pour justifier ce traitement ? la communication en ligne poursuit-elle des motifs d’intérêt public important (au sens de l’article 9.2 g) ou des motifs d’intérêts public dans la santé publique (au sens de l’article 9.2 i) ? est-elle nécessaire à des fins de médecine préventive ou du travail (au sens de l’article 9.2 h) ?
La réponse n’est pas évidente, mais peut être travaillée au sein des établissements de santé et du médico-social avec les acteurs en charge de la communication et de la ligne éditoriale des sites internet et réseaux sociaux. Ce temps de travail consacré à la construction de la ligne éditoriale de l’établissement de santé et du médico-social devra prendre en considération ces différents aspects pour pouvoir intégrer le champ des exceptions prévues par l’article 9 du RGPD.
Les points de vigilance dans la communication en ligne des établissements de santé et médico-sociaux
Les établissements de santé et médico-sociaux réalisant pour les besoins de leur communication des publications sur les réseaux sociaux ou leur site internet doivent donc retenir plusieurs points de vigilance lorsqu’ils envisagent ou mettent déjà en œuvre un tel traitement de leurs patients ou résidents :
- Un traitement de données classique sur la communication de l’activité d’un établissement de santé ou médico-social peut en réalité cacher des données de santé. La bascule entre un traitement de données personnelles « classiques » et un traitement de données sensibles peut vite arriver comme nous avons pu le voir en application de la méthode de déduction des données sensibles…
- L’établissement de santé ou médico-social devra s’assurer dans cette hypothèse que les données de santé collectées et traitées pour les besoins de l’animation de son activité sur les réseaux sociaux et son site internet sont bien hébergées en interne, et non auprès d’un tiers, sauf à ce que celui-ci soit certifié hébergeur de données de santé (HDS) comme le prévoit l’article L.1111-8 du code de la santé publique.
- La relation avec prestataires qui interviennent dans l’animation des réseaux sociaux et du site internet de l’établissement de santé (un photographe indépendant par exemple, ou l’agence de communication) doit être encadrée par un contrat de sous-traitance conforme aux exigences posées par l’article 28 du RGPD. Cela signifie que des mesures techniques permettant d’assurer la sécurité, la confidentialité et l’intégrité des photos et vidéos contenant des données de santé devront être mises en place. Exit, donc, le drive partagé non sécurisé pour sélectionner les photos qui seront publiées au prochain mensuel de l’hôpital ou dans la lettre d’information à destination des résidents.
La morale de cette histoire est donc qu’il faut être en tant que responsable de traitement suffisamment vigilant par rapport au contexte dans lequel intervient la collecte et le traitement des données à caractère personnel !
Alors qu’il est parfois tentant pour un établissement de santé, en tant que responsable de traitement, de s’inspirer (voir de copier) un traitement de données personnelles similaire réalisé par une autre établissement ayant la même activité, il faut garder à l’esprit que chaque traitement de données personnelle est à l’image de la relation existante entre un patient/résident et l’établissement de santé ou médico-social : unique et sur mesure (et non pas asymétrique, rassurez-vous).
Les établissements de santé et médico-sociaux ont donc tout intérêt à solliciter et à inclure leur DPO, qu’il soit interne ou externe, dans la communication de leurs activités en ligne.
Raphaël Cavan a rejoint le Cabinet Houdart & Associés en 2022 tant qu’élève avocat, et exerce aujourd’hui en tant qu'avocat au sein du pôle santé numérique.
L’obtention de son master en droit du numérique auprès de l’université Paris XII (UPEC)et ses différentes expériences professionnelles auprès d’acteurs publics lui ont permis de développer un sens du service public et un intérêt pour les enjeux posés par le numérique aujourd’hui dans le secteur de la santé et de la recherche scientifique.
Il intervient aujourd’hui auprès des établissements de santé privés et publics dans leur mise en conformité à la réglementation en matière de données personnelles, et les conseille sur les questions en lien avec le droit du numérique.