Décisions | Chambre pénale de recours

Entre

A______, représentée par M^e B______, avocat,

recourante,

contre l'ordonnance de non-entrée en matière rendue le 4 novembre 2024 par le Ministère public,

et

LE MINISTÈRE PUBLIC de la République et canton de Genève, route de Chancy 6B,
1213 Petit-Lancy, case postale 3565, 1211 Genève 3,

intimé.

EN FAIT :

A. Par acte expédié le 15 novembre 2024, A______ recourt contre l'ordonnance du 4 novembre 2024, notifiée le lendemain, par laquelle le Ministère public a refusé d'entrer en matière sur sa plainte contre C______ SA et lui a refusé le bénéfice de l'assistance judiciaire gratuite.

La recourante conclut, sous suite de frais et dépens non chiffrés, préalablement à l'octroi de l'assistance judiciaire, principalement à l'annulation de l'ordonnance précitée et, cela fait, au renvoi de la cause au Ministère public pour ouverture d'une instruction.

B. Les faits pertinents suivants ressortent du dossier :

a. Le 16 avril 2024, A______ a déposé plainte contre inconnu pour violation de la loi fédérale sur la protection des données (LPD – RS 235.1).

En cours d'apprentissage d'employée de commerce, elle suivait des cours à l'école de commerce D______, à Genève. L'une de ses camarades de classe, E______, apprentie employée de commerce pour C______ SA, exploitante de la clinique F______, lui avait révélé des informations de nature médicale sur une autre camarade apprentie après la rentrée 2023. Elle-même, suivie par le Dr G______, psychiatre au sein de la clinique précitée, et ayant des doutes sur une éventuelle consultation de son propre dossier, avait demandé à son médecin de vérifier qui avait consulté son dossier médical. Le relevé d'activités de son dossier (sollicité par l'intermédiaire du Dr G______ auprès de la direction du groupe C______) faisait état d'un accès au dossier par E______ le 7 juillet 2023 à 13h30 durant une trentaine de secondes. Sur demande de précision relative aux droits d'accès aux dossiers médicaux sur le logiciel H______, utilisé par C______ SA, I______, assistante administrative, avait répondu au Dr G______, par courriel du 4 janvier 2024, que H______ ne permettait pas l'accès partiel à un dossier ; une personne titulaire d'un compte H______ pouvait ainsi accéder à l'entièreté du dossier médical informatisé des patients.

Par courrier du 21 mars 2024 de son conseil, elle avait requis des précisions de C______ SA, à savoir les raisons de la consultation, le 7 juillet 2023, de son dossier médical par E______, si cette dernière était rattachée à cette période au service comptable de la société et si elle avait consulté l'onglet relatif à son dossier médical. Le 25 mars 2024, C______ SA avait, par son conseil, répondu que E______, dont l'accès se justifiait en vue de la réconciliation des factures émises avec les paiements encaissés, avait consulté le dossier "dans le cadre de l'exécution de son travail". L'intéressée était rattachée au service comptable à la date de la consultation et n'avait pas pris connaissance de documents médicaux. C______ SA avait précisé que le dossier d'un patient s'ouvrait sous l'onglet sélectionné lors de la précédente fermeture et qu'il était fréquent qu'un dossier s'ouvre en affichant l'onglet médical. Le 2 avril suivant, son conseil avait exigé un relevé précis de l'activité de E______ sur son dossier et l'indication de quelle facture et de quel paiement il s'agissait de réconcilier lors de l'accès du 7 juillet 2023. Par ailleurs, un accès complet au dossier, par les collaborateurs de C______ SA, violait l'art. 7 al. 1 LPD relatif au devoir de mettre en place des mesures techniques et organisationnelles pour préserver la protection des données. Le 9 avril 2024, le conseil de la société a précisé s'être intégralement plié aux devoirs d'information de l'art. 25 LPD, la traçabilité des accès par onglet n'existant pas encore sur le logiciel. L'accès, par les facturistes, à l'onglet médical des dossiers était de toute façon nécessaire à l'exécution de leurs tâches. Les médecins avaient la possibilité de créer des notes privées, accessibles uniquement par eux.

b. Auditionné le 25 septembre 2024 par la police, J______, administrateur de C______ SA, a expliqué que son groupe utilisait le logiciel H______, lequel s'apparentait à un dossier médical informatisé contenant le dossier du patient, l'agenda du médecin et la facturation. En tant qu'employée au service de facturation, E______ avait accès aux dossiers médicaux des patients car l'émission des factures impliquait de connaître quelles prestations médicales avaient été fournies. Un temps de 30 secondes était compatible avec la tâche de concilier une facture avec un paiement. Les médecins avaient la possibilité de restreindre la consultation d'un dossier à certains utilisateurs, voire à exclure tout accès.

C. Dans sa décision querellée, le Ministère public retient que C______ SA avait satisfait à ses obligations découlant des art. 60 al. 1 let. a et 61 let. c LPD : elle avait répondu à la demande d'informations de la recourante dans la mesure des possibilités techniques – le logiciel H______ ne permettant pas de savoir avec précision quelle donnée avait été consultée – et dans le délai de 30 jours prescrit par l'art. 25 al. 7 LPD. De plus, E______, soumise au secret médical, avait besoin de l'accès à l'ensemble du dossier afin d'accomplir son travail, à savoir le contrôle de la facturation des actes médicaux effectués, de sorte que C______ SA avait également respecté l'art. 3 al. 1 let. a de l'ordonnance sur la protection des données (OPDo – RS 235.11) relatif au contrôle de l'accès aux données.

D. a. Dans son recours, A______ reproche au Ministère public d'être parti du présupposé – sans le vérifier – que l'accès de son dossier médical durant 30 secondes effectué le 7 juillet 2023 à 13h30 par E______ était motivé par la vérification d'une facture. Or, il aurait été aisé de requérir le relevé des paiements de son assurance afin de déterminer si l'accès pouvait être justifié le jour en question ou de demander des précisions sur le fonctionnement de H______ pour s'assurer qu'un accès aussi court suffisait à un travail de vérification. Par ailleurs, le travail d'émission de factures ou de réconciliation des paiements avec les factures émises, comme le retenait le Ministère public sans investigation préalable, ne nécessitait pas l'accès aux données hautement sensibles du dossier médical (anamnèse, diagnostic, etc.), de sorte que le principe de la proportionnalité régissant l'accès à des données personnelles n'était pas respecté. Le secret médical auquel était soumise E______ ne permettait pas de déroger à ce principe. Enfin, l'absence de traçabilité des accès aux dossiers constituait une violation de l'art. 61 LPD cum art. 7 LPD.

Au surplus, elle demande que l'assistance judiciaire gratuite "complète" lui soit octroyée, tant devant le Ministère public que dans le cadre de la procédure de recours.

b. Le Ministère public conclut, sous suite de frais, au rejet du recours. C______ SA avait informé A______ de l'identité du responsable de la saisie des données personnelles concernées ainsi que de la finalité de cette opération (facturation) et expliqué le rôle de E______ et la raison de son accès au dossier. Rien ne permettait d'établir le caractère erroné ou incomplet des renseignements fournis, et encore moins une intention de tromper la recourante. Le litige était en l'occurrence de nature purement civile. S'agissant de l'art. 61 LPD, il paraissait cohérent que E______ dût accéder à des informations médicales en vue d'effectuer son travail de facturation, les factures médicales étant particulièrement détaillées. De plus, l'absence d'un journal d'accès permettant de déterminer avec précision quelles informations avaient été consultées ne tombait pas sous le coup des art. 61 LPD cum art. 7 LPD et art. 2 et 3 OPDo, qui relevaient de la saisie ou de la modification de données personnelles dans un système automatisé, d'une problématique de contrôle de la communication et de la détection et la réparation des violations de la sécurité des données.

c. A______ réplique que C______ SA n'avait pas indiqué quelles données du dossier médical étaient traitées dans le cadre de la facturation. Ce manque de précision constituait une violation du devoir de renseigner au sens de l'art. 60 al. 1 let. a LPD et procédait, en outre, d'une violation des principes de la sécurité des données dans la conception du logiciel, l'art. 25 al. 2 let. b LPD prévoyant que la personne concernée recevait dans tous les cas "les données personnelles traitées en tant que telles". Par ailleurs, les factures médicales ne faisaient pas état du contenu des consultations. Or, les facturistes avaient accès aux notes de consultation du personnel médical, ce qui violait le principe de proportionnalité et le respect de la protection des données dès la conception du logiciel H______.

EN DROIT :

1.      Le recours est recevable pour avoir été déposé selon la forme et dans le délai prescrits (art. 385 al. 1 et 396 al. 1 CPP), concerner une ordonnance sujette à recours auprès de la Chambre de céans (art. 393 al. 1 let. a CPP) et émaner de la plaignante qui, partie à la procédure (art. 104 al. 1 let. b CPP), a qualité pour agir, ayant un intérêt juridiquement protégé à la modification ou à l'annulation de la décision querellée dans la mesure où elle est la personne physique dont les données personnelles font l'objet d'un traitement allégué comme illicite (art. 382 al. 1 CPP, art. 5 let. b LPD ; cf. J. PAHUD / S. PITTET, Les infractions pénales de la loi sur la protection des données, in : Jusletter du 25 septembre 2023, n. 33).

2.             La recourante reproche au Ministère public d'avoir violé l'art. 60 LPD, en ce sens que l'information communiquée par le maître du fichier en application de l'art. 25 LPD, aurait dû inclure quelle donnée personnelle précise avait été concernée par l'accès litigieux, et l'art. 61 LPD, puisqu'il n'était pas nécessaire à la personne chargée de la facturation d'avoir un accès aux notes de consultation concernant le patient.

2.1.       Le ministère public rend immédiatement une ordonnance de non-entrée en matière s'il ressort de la dénonciation ou du rapport de police que les éléments constitutifs de l'infraction ou les conditions à l'ouverture de l'action pénale ne sont manifestement pas réunis (art. 310 al. 1 let. a CPP).

Conformément à cette disposition, la non-entrée en matière est justifiée lorsque la situation est claire sur le plan factuel et juridique. Tel est le cas lorsque les faits visés ne sont manifestement pas punissables, faute, de manière certaine, de réaliser les éléments constitutifs d'une infraction, ou encore lorsque les conditions à l'ouverture de l'action pénale font clairement défaut. Au stade de la non-entrée en matière, on ne peut admettre que les éléments constitutifs d'une infraction ne sont manifestement pas réalisés que lorsqu'il n'existe pas de soupçon suffisant conduisant à considérer un comportement punissable ou lorsqu'un éventuel soupçon initial s'est entièrement dissipé. En revanche, si le rapport de police, la dénonciation ou les propres constatations du ministère public amènent à retenir l'existence d'un soupçon suffisant, il incombe en principe à ce dernier d'ouvrir une instruction (art. 309 al. 1 let. a CPP). Cela implique que les indices de la commission d'une infraction soient importants et de nature concrète, ce qui n'est pas le cas de rumeurs ou de suppositions. Le soupçon initial doit reposer sur une base factuelle plausible, laissant apparaître la possibilité concrète qu'une infraction ait été commise (ATF 141 IV 87 consid. 1.3.1). Dans le doute, lorsque les conditions d'une non-entrée en matière ne sont pas réalisées avec une certitude absolue, l'instruction doit être ouverte (ATF 143 IV 241 consid. 2.2.1 ; ATF 138 IV 86 consid. 4.1 ; ATF 137 IV 219 consid. 7).

2.2.       L'art. 60 LPD sanctionne, sur plainte, d’une amende de CHF 250 000.- au plus les personnes privées qui contreviennent aux obligations d’informer, de renseigner et de collaborer.

Il vise trois comportements différents, à savoir la fourniture d’informations inexactes ou incomplètes en laissant penser que celles-ci sont complètes (art. 60 al. 1 let. a LPD), l’omission complète d’informer la personne concernée (art. 60 al. 1 let. b LPD) et le refus de collaborer ou la fourniture d’informations inexactes au Préposé fédéral à la protection des données et à la transparence (PFPDT) (art. 60 al. 2 LPD) (Ph. MEIER / S. MÉTILLE, Commentaire romand de la loi sur la protection des données, 2023, n. 5 à 7 ad art. 60 LPD). Ces infractions sont intentionnelles et ne peuvent être réalisées que si la LPD prévoit une obligation d’informer (art. 19 et 21 LPD), de répondre (art. 25 à 27 LPD) ou de collaborer avec le PFPDT (art. 49 al. 3 LPD).

Selon l'art. 19 LPD, le responsable du traitement informe la personne concernée de manière adéquate de la collecte de données personnelles, que celle-ci soit effectuée auprès d’elle ou non (al. 1). Il lui communique au moins l’identité et les coordonnées du responsable du traitement, la finalité du traitement et le cas échéant, les destinataires ou les catégories de destinataires auxquels des données personnelles sont transmises (al. 2).

Lors de l'exercice du droit d'accès au sens de l'art. 25 LPD, le responsable du traitement doit notamment communiquer les "données personnelles en tant que telles", ce qui signifie que les documents sous-jacents en sont en principe exclus (Ph. MEIER / S. MÉTILLE, op. cit., n. 53 ad art. 25 LPD).

2.3.                 Selon l'art. 61 al. 1 let. c LPD, sont, sur plainte, punies d’une amende de CHF 250'000.- au plus les personnes privées qui, intentionnellement, ne respectent pas les exigences minimales en matière de sécurité des données édictées par le Conseil fédéral selon l’art. 8 al. 3 LPD.

L'art. 8 al. 1 et 3 LPD dispose que les responsables du traitement et les sous-traitants doivent assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données personnelles par rapport au risque encouru (al. 1), le Conseil fédéral étant chargé d'édicter des dispositions sur les exigences minimales en la matière (al. 3). Lesdites exigences sont matérialisées à l’art. 3 al. 1 OPDo, qui dresse une liste de mesures techniques et organisationnelles visant à assurer la confidentialité des données personnelles, à savoir le contrôle de l’accès aux données (les personnes autorisées ne doivent avoir accès qu’aux données personnelles dont elles ont besoin pour accomplir leurs tâches), le contrôle de l’accès aux locaux et aux installations (seules les personnes autorisées doivent pouvoir accéder aux locaux et aux installations utilisés pour le traitement de données) et le contrôle de l’utilisation (les personnes non autorisées ne doivent pas pouvoir utiliser les systèmes de traitement automatisé de données personnelles à l’aide d’installations de transmission) (Ph. MEIER / S. MÉTILLE, op. cit., n. 22 ad art. 61 LPD).

En raison du manque de clarté et de précision de l'art. 61 al. 1 let. c LPD, la doctrine doute que la violation de l'art. 3 OPDo puisse constituer une infraction pénale au regard du principe nullum crimen, nulla poena sine lege (art. 1 CP). Seuls des cas graves ou manifestes tomberaient dès lors sous le coup de l'art. 61 let. c LPD, le manque de clarté de la norme pouvant toutefois être relativisé par la non-punissabilité de la négligence (R. FERRARI-VISCA, Datenschutz im Unternehmen, 2023, n. 155, p. 415). Ainsi, si l'absence complète de mesures de sécurité serait certainement punissable aux termes de l'art. 61 let. c LPD, tel ne serait en principe pas le cas de mesures insuffisantes ou d'un règlement incomplet dans la mesure où de telles questions relèvent de l'appréciation du risque ou de l'adéquation des mesures prises (Ph. MEIER / S. MÉTILLE, op. cit., n. 28 ad art. 61 LPD).

2.4. En l'espèce, la recourante a reçu le 25 mars 2024 des réponses complètes aux questions qu'elle a posées dans sa demande du 21 précédent, à savoir principalement les données personnelles traitées et la finalité de la consultation. Cette réponse a encore été précisée le 9 avril 2024. La mise en cause a donc informé la recourante de manière conforme à ses obligations découlant de l'art. 25 LPD. Dans la mesure où elle a précisé qu'un accès au dossier médical était nécessaire pour l'exécution des tâches de facturation par le personnel administratif, le fait que l'information communiquée ne précise pas si, le 7 juillet 2023, il avait effectivement été accédé à des éléments médicaux n'est pas pertinent. Sous l'angle de l'art. 60 al. 1 LPD, seule est en effet déterminante la question de l'information complète concernant l'étendue de l'accès réservé au personnel administratif. À cela s'ajoute le caractère uniquement intentionnel de la violation de l'art. 60 LPD. Or, la recourante admet elle-même que le logiciel ne permettait pas de déterminer à quelle donnée précise il avait été accédé, de sorte qu'il a été répondu à sa demande dans la mesure des possibilités offertes. À supposer que l'information communiquée n'ait été que partielle à l'aune des exigences de l'art. 25 LPD – ce qui n'est pas établi –, l'impossibilité technique de fournir davantage de précisions suffit à exclure le caractère intentionnel d'une éventuelle violation de l'art. 60 al. 1 LPD.

S'agissant de la violation alléguée de l'art. 61 let. c LPD, la recourante considère que la possibilité, pour les employés administratifs de la clinique dans laquelle elle était suivie, d'accéder à son dossier médical, ne répond pas aux exigences minimales en matière de sécurité des données et à la protection des données dès la conception du logiciel. Cette question peut toutefois rester ouverte au vu des considérations qui suivent.

En effet, la mise en cause invoque la nécessité, pour le personnel chargé de la facturation, d'accéder au dossier médical pour exécuter ses tâches. Il s'agit d'un motif objectif, dont la justification relève de l'appréciation. En remettant en cause l'adéquation de l'organisation du traitement des données aux principes de la LPD, la recourante soulève la violation du principe de la proportionnalité (art. 6 al. 2 LPD). Cette question relève essentiellement du droit civil, étant rappelé qu'à l'aune de l'art. 61 let. c LPD, seuls des cas manifestes – par exemple l'absence totale de mesures de protection – pourraient constituer une infraction pénale. Or, compte tenu de l'existence d'un motif objectif expliquant l'accès litigieux octroyé aux facturistes, le cas d'espèce n'atteint dans tous les cas pas un degré de gravité suffisant permettant de retenir que les éléments constitutifs de l'art. 61 let. c LPD seraient réunis. À cet égard, il convient de rappeler qu'en leur qualité d'auxiliaires du personnel médical, les employés administratifs sont également soumis au secret médical (cf. art. 321 ch. 1 CP) – dont ici rien n'indiquerait au demeurant qu'il aurait été violé en ce qui concerne la recourante – et que des tâches de secrétariat peuvent impliquer la prise de connaissance d'éléments médicaux.

En définitive, on peut exclure que d'éventuelles défaillances dans l'organisation soient à ce point graves qu'elles réalisent l'infraction visée à l'art. 61 let. c LPD.

Partant, le recours est rejeté en tant qu'il vise le refus d'entrer en matière sur les infractions dénoncées.

3.             La recourante reproche au Ministère public de lui avoir refusé l'assistance judiciaire gratuite pour la procédure préliminaire.

3.1. À teneur de l'art. 136 al. 1 let. a CPP, sur demande, la direction de la procédure accorde entièrement ou partiellement l’assistance judiciaire gratuite à la partie plaignante, pour faire valoir ses prétentions civiles, si elle ne dispose pas de ressources suffisantes et que l’action civile ne paraît pas vouée à l’échec.

3.2. En l'espèce, la recourante est indigente.

En revanche, l'action civile était vouée à l'échec, ce que le présent arrêt confirme. Le refus du Ministère public était dès lors fondé.

À cette aune, le recours sera également rejeté.

4.             La recourante sollicite l'assistance judiciaire et la désignation de son conseil comme conseil juridique gratuit pour le recours.

Nonobstant ce qui précède, le recours n'était pas d'emblée voué à l'échec, de sorte que les conditions d'octroi de l'assistance judiciaire gratuite sont remplies pour cette démarche.

M^e B______ sera désigné en qualité de conseil juridique gratuit à cette fin.

Son indemnité pour la procédure de recours sera fixée à CHF 1'297.20, TVA par 8,1% (CHF 97.20) comprise, correspondant à 6 heures de rédaction pour un recours portant sur 26 pages, étant relevé que certains arguments ont été repris de la plainte pénale.

5.             La recourante ayant obtenu l'assistance judiciaire gratuite pour l'instance de recours, qui comprend l'exonération des frais de procédure (art. 136 al. 2 let. b CPP), les frais de la procédure de recours seront laissés à la charge de l'État.

* * * * *

PAR CES MOTIFS,
LA COUR :

Rejette le recours.

Admet la demande d'assistance judiciaire gratuite pour la procédure de recours et désigne M^e B______ en qualité de conseil juridique gratuit de A______ à cet effet.

Alloue à M^e B______, à la charge de l'État, une indemnité de CHF 1'297.20, TVA (8,1%) incluse, pour la procédure de recours (art. 135 al. 1 CPP).

Laisse les frais de la procédure de recours à la charge de l'État.

Notifie le présent arrêt, en copie, à la recourante, soit pour elle sont conseil, et au Ministère public.

Siégeant :

Madame Daniela CHIABUDINI, présidente; Mesdames Corinne CHAPPUIS BUGNON et Valérie LAUBER, juges ; Madame Olivia SOBRINO, greffière.

Voie de recours :

Le Tribunal fédéral connaît, comme juridiction ordinaire de recours, des recours en matière pénale au sens de l'art. 78 de la loi sur le Tribunal fédéral du 17 juin 2005 (LTF;
RS 173.110); la qualité et les autres conditions pour interjeter recours sont déterminées par les art. 78 à 81 et 90 ss LTF. Le recours doit être formé dans les trente jours qui suivent la notification de l'expédition complète de l'arrêt attaqué.

Le recours doit être adressé au Tribunal fédéral, 1000 Lausanne 14. Les mémoires doivent être remis au plus tard le dernier jour du délai, soit au Tribunal fédéral soit, à l'attention de ce dernier, à La Poste Suisse ou à une représentation diplomatique ou consulaire suisse
(art. 48 al. 1 LTF).