La Cour de justice de Genève a rendu le 26 mars 2025 un arrêt sur la Punissabilité d’une violation des prescriptions minimales en matière de sécurité des données (arrêt ACPR/239/2025), sur le François Charlet chez Swissprivacy a déjà rapporté.
Le contexte était une formation dans une école de commerce, au cours de laquelle une employée de la clinique E aurait communiqué à sa camarade de classe A des informations médicales sur une autre camarade de classe. A était suivie par la même clinique pour des soins psychiatriques et a voulu savoir si ses données avaient également été consultées. En effet, une vérification a révélé un Accès par E également à leurs données. Il y a eu par la suite une nouvelle discussion et une enquête de police sur les raisons et l’étendue de l’accès. Apparemment, E était employé à la comptabilité de la clinique et pouvait donc accéder au dossier du patient, y compris aux données médicales, car le logiciel de la clinique ne permettait pas un accès limité.
La procédure n’a même pas été entamée par le parquet. La Cour de justice rejette le recours de A contre le classement sans suite en invoquant des motifs succincts :
Une Violation du droit d’accès selon l’art. 60, al. 1 LPD n’a pas pu être constatée de l’information. Certes, A n’avait pas été informée de la nature exacte des données auxquelles elle avait eu accès, mais cela n’était pas préjudiciable :
[Il est] sans importance que l’information communiquée ne précise pas si […] des éléments médicaux ont effectivement été consultés. Au sens de l’article 60, paragraphe 1, LPD seule l’information complète sur l’étendue du droit d’accès du personnel administratif est déterminante. A cela s’ajoute le caractère exclusivement intentionnel de l’infraction à l’article 60 LPD.
Il y a aussi une Violation des exigences minimales en matière de sécurité des données – en raison de l’accès global plutôt que limité au dossier du patient n’a pas été établi :
- En raison de l’ambiguïté de l’article 61, paragraphe 1, lettre c de la LPD, il est possible d’obtenir des informations sur les personnes concernées. uniquement les blessures évidentes En effet, les réflexions sur les risques et les questions d’adéquation sont ici déterminantes.
- En l’occurrence, il y avait en principe un motif pour l’accès litigieux, raison pour laquelle il n’y a pas de cas clair. De plus, en tant qu’auxiliaire, E est également soumis au secret médical.
Le résultat de ce jugement n’est guère surprenant :
- Il est peu probable que l’on ait envie de poursuivre pénalement les violations de la protection des données, même dans un cas comme celui-ci, où il s’agissait d’un accès pour le moins douteux à des données relatives à la santé. En particulier, un accès justifié à des données à caractère personnel ne légitime pas l’utilisation de ces données.droit pas tout accès effectif. En ce sens, on peut comprendre que la plaignante n’ait pas voulu laisser l’affaire en suspens en refusant d’entrer en matière.
- Il est cependant exact que la Cour de justice s’est ralliée à la littérature critique et seuls les cas absolument évidents de violation de la sécurité sont considérés comme potentiellement pénalement répréhensibles de la protection des données. Dans la vaste zone grise de la sécurité “adéquate” des données, une punissabilité serait en effet difficilement compatible avec le principe de précision (à ce sujet ici).
La violation de Art. 321 CP ou art. 62 LPD. Les deux ne seraient pas à exclure a priori, du moins si l’on part du principe qu’une révélation au sein de l’organisation d’une personne morale peut être constitutive d’une infraction (d’après Reto Ferrari-Visca, dans sa dissertation, ch. 958 : pas de secret bancaire interne à une banque ; au regard du support personnel du secret et de la décision du TAF sur la caisse de pension AXA, c’est pour le moins discutable).