En effectuant par curiosité une requête sur un moteur de recherche avec ses nom et prénom, une femme s’est aperçue que l’un des résultats affichés comportait ses nom, prénom et linscription « dossier enfant » avec son numéro de sécurité sociale (sans la clé). En cliquant sur ce résultat, elle a accédé à un site proposant un menu déroulant comprenant des noms et prénoms ainsi que les numéros de sécurité sociale. En choisissant son nom, le dossier de naissance de son fils s’est alors affiché. En outre, elle pouvait avoir accès aux autres dossiers mais aussi les modifier ou les supprimer.
Elle a alors déposé plainte du chef de violation du secret professionnel à lencontre de lhôpital, quelle avait par ailleurs alerté de la situation.
Une enquête interne à l’hôpital a permis d’identifier un médecin pédiatre comme responsable de la mise en place de la base de données. Le but de celle-ci était de créer un dossier médical et de suivi, une base de données épidémiologiques pour le suivi des bébés prématurés et d’améliorer la collaboration entre les acteurs médicaux par un partage des informations.
Le 7 juin 2017, le tribunal de grande instance de Marseille condamne le pédiatre condamné au paiement d’une amende de 5.000 damende pour traitement informatisé de données médicales sans autorisation de la Commission nationale de l’informatique et des libertés (Cnil).
En revanche, le responsable de la Direction des systèmes dinformation et de lorganisation (DSIO) de l’hôpital est relaxé. Il bénéficiait d’une délégation de pouvoir et n’avait « pas eu connaissance de lexternalisation effective des données médicales, et de leur hébergement chez un hébergeur non agréé. »
Enfin, la responsabilité de l’hébergeur dans le traitement de données sans précautions n’a pas été retenue, faute pour lui de revêtir la qualité de responsable du traitement. Par ailleurs, l’infraction qui sanctionne le fait dhéberger des données de santé sans être titulaire d’un agrément ne s’applique pas en cas d’hébergement de données de santé par un hébergeur non agrée.