Le service d’inspection de l'autorité de protection des données a enquêté sur cette affaire. L'enquête a donné lieu à un rapport qui a montré que, d'une part, l'hôpital n'avait pas pris de mesures suffisantes pour garantir la sécurité des données personnelles (particulières) traitées via le site web et avait donc violé l'article 32, alinéas 1, 2 et 4 du RGPD et l'article 24, alinéa 1 du RGPD. D'autre part, le rapport a également constaté, en dehors du champ de la plainte, des violations des articles 24, alinéa 1, 38, alinéas 1 et 3, et 39 du RGPD, car le délégué à la protection des données aurait omis de rendre des avis à l'organe le plus élevé de l'institution, à savoir le conseil d'administration. L'Inspection a également considéré que les conseils fournis par le DPO sur les mesures de sécurité du site web n'étaient pas suffisamment convaincants.
Toutefois, la plainte a été jugée irrecevable en l'espèce. La chambre contentieuse de l'Autorité de protection des données a estimé que le plaignant, en déposant sa plainte, poursuivait un intérêt public général consistant à protéger le droit à la vie privée de toute personne visitant le site web de l'hôpital et utilisant éventuellement les formulaires de contact du site web. Cependant, de l’avis de la chambre, le plaignant n'a pas démontré poursuivre un intérêt personnel. Le fait qu'il soit un patient de l'hôpital en question était insuffisant pour établir cet intérêt dans les circonstances données, dans lesquelles il n'apparaissait pas que ses données personnelles avaient été traitées par le biais du formulaire de contact, ni qu'il avait l'intention d'utiliser ce formulaire de contact. La Chambre contentieuse a rejeté l'affaire mais a ensuite formulé quelques considérations générales intéressantes.
Se référant à l'article 9, l'article 24,1 et l'article 32,1 du RGPD, la chambre contentieuse considère que le responsable du traitement est tenu de prendre les mesures techniques et organisationnelles nécessaires pour que le traitement des données soit effectué conformément au RGPD. Selon la Chambre contentieuse*, les hôpitaux, dont la tâche principale est de fournir des soins médicaux, traitent régulièrement et en grande quantité des données relatives à la santé. Ils doivent donc être particulièrement vigilants pour s'assurer que ces données sont traitées conformément au RGPD. La chambre contentieuse rappelle que les données à caractère personnel relatives à la santé (et leur transmission) doivent être sécurisées de manière adéquate, et que les données doivent donc, entre autres, être envoyées avec un cryptage suffisamment fort de l'ordinateur de l'utilisateur au serveur fournissant un site web avec un formulaire. Cela peut être fait en utilisant un certificat de sécurité.
Une question qui n'est pas sans importance est de savoir à qui le DPO doit faire rapport. Il découle du règlement que le délégué à la protection des données doit pouvoir faire rapport directement au plus haut responsable. La chambre contentieuse n'exclut pas qu'il puisse s'agir du directeur général d'un hôpital. Par ailleurs, la Chambre contentieuse rappelle que l'obligation de rendre compte telle que prévue à l'article 5.2 du RGPD implique que le responsable du traitement doit être en mesure de démontrer qu'il remplit les obligations telles que décrites dans la RGPD.
*Voir www.gegevensbeschermingsautoriteit.be Décision de la Chambre des litiges GBA 117/2021
Emma Van de Voorde
