A été validée l’utilisation de données de santé et du NIR dans le cadre d’une action en concurrence déloyale entre deux PSAD (CA Nîmes, 10 novembre 2023, RG n° 23-01298).
Un PSDM reproche à un concurrent d’avoir détourné sa clientèle, après deux débauchages. Pour le prouver, il sollicite donc une « mesure d’instruction in futurum », reposant sur la recherche, par un huissier, d’une liste de patients désappareillés, avec leur NIR, dans le SI concurrent.
Petit point procédural, pour bien comprendre la suite : en droit, une telle mesure n’est possible que pour un motif légitime, lequel ne peut être établi par un moyen de preuve illicite.
Le 1er Président, reprenant ainsi tacitement la décision Vyriausioji (n° C-184-20), retient que l’association du nom du patient avec celui du PSAD permet d’induire une donnée de santé.
L’utilisation des données suppose donc une base juridique et une exception à l’interdiction de traitement des données sensibles. En l’occurrence, le magistrat a retenu la base juridique « Exécution du contrat » et considéré qu’elles étaient nécessaires à la constatation et à l’exercice d’un droit en justice. La décision s’inscrit alors dans la lignée de la jurisprudence de la Cour de Cassation (n° 21-12492) qui permet le versement de données de tiers dans un litige prud’homal.
Dossier plié? Non.
Le juge s’est ensuite intéressé à l’information des patients. Savaient-ils que les données allaient être utilisées dans cette procédure judiciaire? Le responsable de traitement plaignant n’ayant pas prévu, dans sa politique de confidentialité, le versement des données en justice et l’autorité judiciaire n’ayant pas demandé leur production, la réponse est nécessairement négative.
Difficile de se remettre d’une telle frappe d’estoc, non? Eh bien, si.
3ème temps du raisonnement, le juge concilie les droits à la protection des données et à la preuve. Pour écarter une atteinte disproportionnée aux droits des patients, il retient l’existence d’une sphère de confidentialité, tous les intervenants étant soumis au secret professionnel, et ce même sans la participation d’un médecin. Il souligne ensuite le respect du principe de minimisation des données et l’ouverture aux patients, par le RGPD, d’un recours propre. Partant, l’intérêt du responsable de traitement primait celui de ses patients et justifiait l’utilisation de leurs données de santé en justice, même sans information préalable.
Alors, pourquoi est-il crucial de comprendre les implications de votre politique de confidentialité? Parce qu’elle est un éléments « actionnable » dans le cadre d’une stratégie juridique. Son contenu doit donc être soigneusement réfléchi, aussi bien pour se réserver des moyens d’action, que pour éviter de se les voir opposer par un contradicteur.
Et vous, votre politique de confidentialité est-elle adaptée à ce type de défis?