Condamnation d'un médecin hospitalier pour avoir mis en place un traitement automatisé de données médicales sans l’autorisation de la Cnil. En effectuant par curiosité une requête sur un moteur de recherche avec ses nom et prénom, une femme s'est aperçue que l'un des résultats affichés comportait ses nom, prénom et l’inscription "dossier enfant" avec son numéro de sécurité sociale (sans la clé). En cliquant sur ce résultat, elle a accédé à un site proposant un menu déroulant comprenant des noms et prénoms ainsi que les numéros de sécurité sociale. En choisissant son nom, le dossier de naissance de son fils s'est alors affiché. En outre, elle pouvait avoir accès aux autres dossiers mais aussi les modifier ou les supprimer.Elle a alors déposé plainte du chef de violation du secret professionnel à l’encontre de l’hôpital, qu’elle avait par ailleurs alerté de la situation. Une enquête interne à l'hôpital a permis d'identifier un médecin pédiatre comme responsable de la mise en place de la base de données. Le but de celle-ci était de créer un dossier médical et de suivi, une base de données épidémiologiques pour le suivi des bébés prématurés et d'améliorer la collaboration entre les acteurs médicaux par un partage des informations. Le 7 juin 2017, le tribunal de grande instance de Marseille condamne le pédiatre condamné au paiement d'une amende de 5.000 € d’amende pour traitement informatisé de données médicales sans autorisation de la Commission nationale de l'informatique et des libertés (Cnil).En revanche, le responsable de la Direction des systèmes d’information et de l’organisation (DSIO) de l'hôpital est relaxé. Il bénéficiait d'une délégation de pouvoir et n'avait "pas eu connaissance de l’externalisation effective des données médicales, et de leur hébergement chez un hébergeur non agréé."Enfin, la responsabilité de l'hébergeur dans le traitement de données sans précautions n'a pas été retenue, faute pour lui de revêtir la qualité de responsable du traitement. Par ailleurs, l'infraction qui sanctionne le fait d’héberger des données de santé sans être titulaire d'un agrément ne s'applique pas en cas d'hébergement de données de santé par un hébergeur non agrée. - Tribunal de grande instance de Marseille, 6ème chambre correctionnelle, 7 juin 2017, Procureur de la République, AP-HM Assistance Publique des Hôpitaux de Marseille c/ M. X., Mme Y. et M. Z. - https://www.legalis.net/jurisprudences/tgi-de-marseille-6eme-ch-corr-jugement-du-7-juin-2017/