L’hôpital sanctionné a été victime de deux attaques informatiques : (i) une première en 2019 et (ii) une seconde en 2021. C’est à la suite de cette seconde attaque qu’une enquête a été initiée par le service d’inspection de l’autorité de protection des données. Les enquêteurs en charge de la réalisation de cette enquête ont considéré que l’hôpital n’avait pas entrepris les démarches nécessaires pour se conformer au RGPD, et ce malgré la première attaque informatique subie en 2019. Bien que cette conclusion ait été contestée par l’hôpital, la chambre contentieuse a jugé que les constats faits par les enquêteurs étaient vérifiés et a sanctionné financièrement l’hôpital.
La décision rendue intéressera certainement les hôpitaux en raison du fait que la chambre contentieuse précise dans sa décision certaines mesures techniques ou organisationnelles qui doivent être appliquées en matière de sécurité par les hôpitaux. Ainsi, l’on peut par exemple lire dans la décision que la chambre contentieuse considère qu’un mot de passe dont la longueur est inférieure à 12 caractères n’est pas suffisamment robuste pour être utilisé en milieu hospitalier (voir points n°122 et 123 de la décision). En matière de formation du personnel, la chambre contentieuse indique que les employés des hôpitaux doivent recevoir une formation appropriée et régulière (point n°99 de la décision). Ces formations doivent être dispensées à suffisamment de collaborateurs. Dans la décision attaquée, la chambre contentieuse a jugé que les mesures de formation n’étaient pas satisfaisantes car « ces formations ne s’appliquent qu’à une infime proportion des membres du personnel (…) » (point n°104 de la décision). Nul doute qu’il est recommandé aux hôpitaux de prendre en compte ces enseignements dans la mise en œuvre des mesures organisationnelles pour le futur. D’autres aspects des mesures organisationnelles sont évalués par la chambre contentieuse dans sa décision.
La chambre contentieuse s’est également prononcée sur la nature juridique de l’hôpital. En Belgique, une « autorité publique » au sens du RGPD et de la loi du 30 juillet 2018 ne peut pas se voir imposer une amende (pour autant qu’elle n’offre pas des biens ou des services sur un marché) en application de l’article 122, §2 de la loi du 30 juillet 2018 « relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel ». L’hôpital concerné – qui est une ASBL de droit privé – défendait la thèse selon laquelle il devait être assimilé à une autorité publique. Cette thèse n’a pas été suivie par la chambre contentieuse. Pour être assimilé à une autorité publique, un hôpital doit démontrer que trois conditions sont réunies (article 5, 3° de la loi du 30 juillet 2018):
i. L'hôpital doit avoir été créé pour satisfaire spécifiquement des besoins d'intérêt général ayant un caractère autre qu'industriel ou commercial; et
ii. L'hôpital doit être doté de la personnalité juridique; et
iii. L'activité de l'hôpital doit correspondre à au moins un des critères suivants:
a. soit être financée majoritairement par l'état fédéral, les entités fédérées et les autorités locales (ou des personnes morales de droit public qui en dépendent);
b. soit la gestion de l'hôpital doit être soumise à un contrôle des autorités publiques; ou
c. soit plus de la moitié des membres de l'organe d'administration, de direction ou de surveillance sont désignés par ces autorités ou organismes.
Dans sa décision, la chambre contentieuse a considéré que la première ainsi que la troisième condition n’étaient pas remplies par l’hôpital pour lui permettre d’être assimilé à une autorité publique. L’analyse de la chambre contentieuse sur ce point est selon nous discutable. Si l’hôpital en question interjette appel de cette décision, il sera intéressant de voir si la cour des marchés se rallie à la conclusion de la chambre contentieuse (ou non).
En résumé, au-delà du caractère important de la sanction prononcée, la décision rendue par la chambre contentieuse sera utile aux hôpitaux qui souhaitent déterminer si certaines des mesures organisationnelles et techniques actuellement mises en place sont conformes aux attentes de la chambre contentieuse. La décision rendue permet également de mesurer les attentes de la chambre contentieuse en matière de protection des données à caractère personnel en milieu hospitalier.
Guillaume Pomes
