
Alors qu’il tend à se généraliser dans les relations avec l’administration, certaines décisions des autorités de protection des données de l’UE suggèrent qu’un droit à l’erreur pourrait justifier un accès injustifié à un dossier médical.
Théoriquement, l’erreur humaine n’écarte pas un manquement au RGPD. Et la pratique est parfois alignée, considérant que l’erreur prouve une insuffisance des mesures (GPDP, 8 février 2024, n° 9994597 ; GPDP, 17 octobre 2024, n° 10079389).
D’autres APD font preuve de pragmatisme. Elles recherchent une « intention » de l’agent, sa mauvaise foi, pour pouvoir entrer en voie de condamnation.
Ainsi, des accès injustifiés, mais isolés, ne s’analyseraient pas comme une violation (PVN, 6 février 2024, n° PVN-2023-23). A l’inverse, l’accès injustifié et répété (deux fois suffisent : Commissioner, n° 11.17.001.009.048) au dossier matérialiserait la volonté de transgresser l’interdit, de même qu’un accès injustifié pour une majorité des « consultants » (AEPD, 8 septembre 2023, n° PS/00097/2023). Autre élément pouvant être pris en compte, la notoriété du patient…. ou du titulaire d’un passe vaccinal.
Vous êtes DPD ou DIM dans une structure de santé et vous vous demandez comment déterminer si vous êtes face à un accès par erreur ou abusif à un dossier médical?
Raisonnons en trois temps:
1️⃣ Analysez la gravité de la « violation » : seule une erreur pure et simple échapperait à l’obligation de notification
2️⃣ Enregistrez l’évènement dans le registre interne des violations
3️⃣ Capitalisez dessus : sans jeter l’opprobre sur « l’errans », toute occasion est bonne, pour sensibiliser le personnel.
🗣️ Avez-vous eu à gérer de telles situations? Des RETEX, des craintes ou des méthodes différentes? Partagez-les en commentaires.
📩 Des interrogations sur vos politiques d’habilitation ou sur l’exploitation des traces ? N’hésitez pas à me contacter.