Décisions | Chambre administrative de la Cour de justice Cour de droit public
ATA/663/2024 du 04.06.2024 ( LIPAD ) , REJETE
En droit
| RÉPUBLIQUE ET CANTON DE GENÈVE | ||||
| POUVOIR JUDICIAIRE A/2972/2023-LIPAD ATA/663/2024 COUR DE JUSTICE Chambre administrative Arrêt du 4 juin 2024 |
| ||
dans la cause
A______ recourant
représenté par Me Isabelle SOB, avocate
contre
B______ intimés
représentés par Me Sylvain MÉTILLE, avocat
_________
A. a. A______ travaille depuis le 1er novembre 2022 en qualité de médecin C______ aux B______(ci-après : B______).
b. Le matin du 8 février 2023, il s'est présenté aux urgences des B______ en raison de de douleurs à la mâchoire notamment. Après qu'un diagnostic de syndrome myofascial eut été posé, il a quitté les urgences le jour-même. Le soir même, il est retourné aux B______, ses douleurs à la mâchoire s'étant aggravées. Il y a passé la nuit et a quitté les urgences le lendemain dans la matinée.
c. Le 9 février 2023 vers 12h30, il s'est à nouveau présenté aux urgences des B______ pour les mêmes douleurs. Il y a été hospitalisé, au sein du service de D______, jusqu'au 15 février 2023, pour le traitement d'un abcès dentaire.
d. Du 9 au 10 février 2023, la docteure E______, médecin au service F______ des B______, a accédé au dossier patient intégré (ci-après : DPI) de A______ à six reprises.
B. a. Par courriel du 15 février 2023 adressé au service de psychiatrie des B______, A______ a indiqué qu'il avait bénéficié de consultations dans ledit service depuis le début du mois de février 2023. Or, ces consultations, qui apparaissaient dans son DPI, avaient nui à sa prise en charge médicale. La présence de ses consultations psychiatriques dans son DPI pouvait contribuer à le décrédibiliser auprès des membres du corps hospitalier. Il sollicitait dès lors la destruction de l'intégralité de la documentation émanant de la psychiatrie figurant dans son DPI.
b. Les B______ ont refusé d'accéder à sa requête, en raison de l'obligation de conservation du dossier médical des patients incombant aux professionnels de la santé.
c. Par courrier du 23 février 2023 adressé à la direction juridique des B______, A______ s'est plaint de sa prise en charge médicale entre les 8 et 15 février 2023.
Il dénonçait notamment le comportement de la médecin qui l'avait pris en charge le soir du 8 février 2023. Elle avait adopté à son égard un ton accusatoire et n'avait procédé à aucune anamnèse ni aucun examen clinique. Elle avait un « grave biais » sur son dossier car elle l'avait traité comme un patient et non pour les douleurs documentées à sa mâchoire. Il n'était pas normal qu'un patient se présentant aux urgences à trois reprises en moins de 48 heures pour des symptômes tels que les siens ne soit hospitalisé qu'à son troisième passage.
La suite de son séjour à l'unité d'observation s'était caractérisée par une absence totale de prise en charge médicale du côté des urgences. Aucun médecin n'avait procédé à des examens complémentaires, malgré ses demandes. Le traitement qu'il avait reçu pouvait sans doute s'expliquer par son antécédent psychiatrique figurant dans son dossier. La Dre E______, en particulier, avait consulté son dossier médical par pure curiosité, alors qu'elle n'avait pas été impliquée dans son hospitalisation. De même, la docteure G______, H______, avait ouvert son DPI et y avait lu un rapport des urgences psychiatriques, alors que ce dernier n'avait aucun lien avec la suspicion d'infection à sa mâchoire.
Il concluait notamment à ce que la violation de la loi fédérale sur la protection des données du 19 juin 1992 (LPD - RS 235.1) par les Dres G______ et E______ soit constatée et à ce que cette dernière (mais uniquement celle-ci) soit sanctionnée, les regrets sincères exprimés par la Dre G______ à la suite de la révélation de son comportement commandant de ne pas lui infliger de sanction.
d. Par courriel du 17 avril 2023, les B______ ont transmis à A______, en réponse à sa demande, une directive portant sur la confidentialité liée aux patients.
e. Par courrier du 1er mai 2023 adressé aux B______, A______ s'est plaint d'une atteinte à sa personnalité en lien avec l'accès à ses données médicales par le personnel des B______ et a demandé à pouvoir figurer dans la base de données des patients de l'établissement sous un patronyme fictif. Il a notamment relevé qu'il était choquant que l'ensemble du personnel des B______ ait accès aux données médicales de tous les employés de l'établissement qui y avaient été hospitalisés, et ce pendant toute la durée de la conservation des informations. Dans le cas où les B______ n'accéderaient pas à sa requête, celle-ci devait être transmise au préposé cantonal à la protection des données (ci-après : le préposé) pour qu'il rende une recommandation.
f. Par courriers séparés du 14 juin 2023, les B______ ont, d'une part, informé A______ que, selon les informations reçues, l'accès à son DPI par la Dre G______ était pleinement justifié, que la Dre E______ aurait accédé à son dossier médical hors de toute relation thérapeutique et que « cette situation » avait été transmise aux personnes compétentes pour traiter les conséquences de tels accès. D'autre part, ils ont refusé de lui octroyer un patronyme fictif et ont transmis sa requête au préposé.
Le DPI était conçu non seulement pour protéger la confidentialité des données patients, mais également pour assurer la plus grande qualité des soins. Les accès étaient restreints au maximum mais dans les limites de ce qui était nécessaire pour permettre une prise en charge optimale du patient. Dans le contexte d'une prise en charge globale ou postérieure, il était absolument nécessaire pour les médecins et le personnel soignant de pouvoir accéder aux informations du patient, sauf à mettre en péril la qualité des soins. Afin de garantir la confidentialité des données, les règles institutionnelles imposaient certains devoirs aux collaborateurs qui accédaient au DPI. Ce dernier répondait ainsi aux besoins d'accès impératifs dans un contexte hospitalier, tout en préservant la confidentialité. La directive « confidentialité liée aux patients » ne trouvait en l'occurrence pas application, si bien qu'aucun patronyme fictif ne pouvait être octroyé à A______.
g. Le 15 juin 2023, A______ a dénoncé les B______ ainsi que les Dres E______ et G______ auprès de la commission de surveillance des professions de la santé et des droits des patients (ci-après : la commission).
g.a Dans le cadre de cette procédure, la Dre E______ a contesté avoir ouvert le DPI de A______ par curiosité. Ils se connaissaient et devaient se rencontrer le 10 février 2023. Or, il avait annulé le rendez-vous en raison de son hospitalisation pour de violents maux de tête. Elle avait pris peur et ressenti un grand stress émotionnel. Dans cet état, elle avait cherché sans réfléchir le nom de A______ dans le système, d'abord pour savoir où il était hospitalisé. Le dossier était facilement accessible sans barrière ni restriction d'accès. Le contenu du dossier, rapidement saisissable, l'avait profondément choquée.
g.b La Dre G______ a expliqué qu'en février 2023, elle avait été affectée à la lecture de radiographies standard. Le matin litigieux, elle avait effectué la lecture de l'orthopantomogramme de A______, ce dernier étant prioritaire. Afin de lire l'examen dans son contexte et valider la prise en charge notamment, elle avait ouvert le dossier de A______. Elle avait constaté qu'il y avait eu deux consultations récentes, l'une aux urgences générales et l'autre aux urgences psychiatriques. Elle avait lu la consultation aux urgences générales. Vu le contenu du rapport y relatif et le lien temporel étroit entre les deux consultations, elle avait également consulté le rapport des urgences psychiatriques, puisqu'il pouvait y avoir un lien entre ces deux événements. Il fallait comprendre un patient dans sa globalité.
g.c La commission a classé les dénonciations par décisions séparées du 8 avril 2024.
Aucun reproche ne pouvait être adressé à la Dre E______ en lien avec une éventuelle violation des règles de l'art médical. Sa consultation du dossier médical avait d'ailleurs été causée par son inquiétude de ne plus voir A______ à l'hôpital, conjuguée à l'annulation de leur rendez-vous, dans un contexte interpersonnel manifestement compliqué.
Il était attendu de la Dre G______ une lecture des examens en vue de la validation ou de la modification de la prise en charge du patient. Ainsi, une mission d'analyse lui revenait, laquelle impliquait la prise en compte de tout élément médical pertinent. Elle s'était interrogée à bon droit sur le possible lien entre la perception de la douleur par le patient relativement à ses problèmes dentaires et un éventuel trouble psychiatrique présenté par celui-ci. Elle avait ainsi agi conformément aux règles de l'art.
g.d A______ a interjeté recours auprès de la chambre administrative de la Cour de justice (ci-après : la chambre administrative) contre les décisions de classement précitées. Les procédures y relatives sont pendantes au jour du prononcé du présent arrêt.
h. Par courrier du 17 juin 2023 adressé au préposé, A______ a fait savoir qu'il entendait revoir ses demandes en requérant que l'accès à son dossier psychiatrique soit à l'avenir bloqué pour tous les membres du personnel travaillant en dehors du service psychiatrique.
i. Le 19 juillet 2023, le préposé a recommandé aux B______ de rejeter la requête de A______ en constatation du caractère illicite de l'atteinte.
La mesure consistant en l'octroi d'un patronyme fictif devait être écartée, car, selon la directive applicable, cette mesure exceptionnelle n'était pas destinée aux collaborateurs des B______ comme A______. Ce dernier ne démontrait pas une impérative nécessité justifiant le renforcement de la confidentialité des B______ à son égard.
Tous les collaborateurs des B______ n'avaient pas les mêmes droits d'accès au DPI. Afin de garantir la confidentialité des données des patients, les règles institutionnelles leur imposaient certains devoirs. Ils étaient en principe autorisés à accéder au dossier du patient uniquement dans le cadre d'une relation thérapeutique durant une période limitée ou au moyen d'une justification. Selon les B______, il était nécessaire pour les médecins et le personnel soignant de pouvoir accéder aux informations du patient concerné, même si celui-ci avait été pris en charge ultérieurement dans un autre service, afin de garantir la qualité des soins et la sécurité des patients.
Le système mis en place par les B______ conservait les empreintes digitales des personnes qui s'étaient connectées aux dossiers médicaux, ce qui instaurait une traçabilité certaine. Selon les B______, chaque connexion hors prise en charge devait être justifiée, chaque navigation était enregistrée et chaque patient pouvait accéder à la liste des accès à son dossier et éventuellement dénoncer un accès non autorisé qui ferait, le cas échéant, l'objet d'investigations. Les B______ avaient donc mis en place des mesures techniques et organisationnelles pour protéger les données d'une consultation indue. Cependant, certaines réserves pouvaient être avancées, puisque les accès mis en place étaient larges. Il était imaginable que les B______ donnent un accès complet au DPI au service des urgences mais le restreignent aux autres services, afin que ces derniers ne traitent que des données personnelles nécessaires à leur activité et, si besoin, sur demande, puissent accéder à l'ensemble du dossier. Le préposé suggérait qu'une réflexion soit menée sur la question des accès.
j. Par décision du 28 juillet 2023, se référant à la recommandation du préposé et aux développements y relatifs, les B______ ont rejeté la requête de A______ en constatation du caractère illicite de l'atteinte.
C. a. Par acte remis à la poste le 14 septembre 2023, A______ a interjeté recours auprès de la chambre administrative contre cette décision, concluant au constat du caractère illicite du traitement de ses données par les B______, au constat qu'il avait subi une atteinte illicite à sa personnalité et à ce qu'il soit mis un terme à l'atteinte par toute mesure apte à faire respecter les droits de sa personne. Il a également conclu à l'octroi d'une indemnité de procédure et à ce qu'il soit veillé au respect de sa personnalité dans le cadre de la « publicité » de l'arrêt à rendre.
Les faits avaient été constatés de façon inexacte et incomplète. La recommandation du préposé ne reposait que sur des informations erronées transmises par les B______. Ceux-ci avaient violé la maxime inquisitoire en n'entreprenant aucune démarche pour établir les faits. Ils avaient également contrevenu au principe de la confiance en lui remettant une directive lui permettant de demander des mesures de protection de sa personnalité, pour ensuite prétendre que cette directive lui était inapplicable. Enfin, les B______ avaient violé le droit au respect de sa vie privée par le traitement indu de ses données, alors même qu'il leur était possible de l'inscrire sous un patronyme fictif.
b. Les B______ ont conclu au rejet du recours.
Limiter l'accès aux dossiers médicaux des employés comportait un risque pour la santé des patients et il convenait de laisser au personnel soignant la possibilité d'accéder au dossier en accès « bris de vitre », en contrepartie d'une journalisation rigoureuse. Dans le cadre de leur politique de sécurité des systèmes d'information, ils disposaient de directives en matière de droit d'accès. L'accès d'un utilisateur à un dossier patient était autorisé selon trois critères.
Le risque d'une atteinte à la personnalité était limité. Les accès faisaient l'objet de contrôles technique, social et opérationnel. Dans le cadre du contrôle opérationnel, l'ensemble des accès était journalisé, ce qui permettait un contrôle a posteriori des abus, soit dans le cadre de contrôles périodiques, soit dans le cadre d'une demande d'accès d'un patient à ses données.
Ils ne recouraient qu'à titre très exceptionnel à l'usage du patronyme fictif, car une telle mesure comportait un risque d'erreurs beaucoup plus important dans la saisie ou la recherche des informations médicales, et donc un risque plus élevé d'atteinte à la santé des patients. Selon la directive en matière de confidentialité liée aux patients, le patronyme fictif n'était pas destiné à leurs collaborateurs.
L'ensemble des contestations de A______ se réduisaient à l'accès au dossier par la Dre E______. Or, des suites seraient données à cet événement. Elle avait a priori accédé au dossier du patient hors d'une relation thérapeutique en passant outre les sécurités mises en place, en indiquant être le médecin en charge du patient, ce qui était faux. Même à supposer que l'accès ait été illicite, l'atteinte en résultant avait pu cesser très rapidement et sans dommage. L'intéressée était en outre soumise à de strictes obligations de confidentialité.
c. Le recourant a requis l'« édition » de l'intégralité des pièces de la procédure en cours par-devant la commission, « enregistrée sous la référence Dr A______ c/ B______, Dres E______ et G______ », et produit une note d'honoraires finale de son conseil d'un montant de CHF 10'660.-. Il a repris et développé sa précédente argumentation, précisant que la loi sur le réseau communautaire d'informatique médicale du 14 novembre 2008 (e-Toile ; LRCIM - K 3 07) trouvait application.
d. Les B______ ont relevé que les accès au DPI étaient déjà segmentés en zones d'activités médicales et de soins. Sauf urgence, un médecin ou un soignant n'avait accès qu'aux seules données relevant de son propre secteur.
e. Dans une écriture spontanée, A______ a relevé que les B______ n'avaient pas allégué qu'un système de contrôle interne avait été mis en place pour s'assurer du respect des règles institutionnelles censées protéger sa personnalité. Des alternatives permettant non seulement d'offrir une prise en charge de qualité et sécurisée mais également de respecter la personnalité du personnel existaient dans les autres cantons.
f. Sur ce, la cause a été gardée à juger, ce dont les parties ont été informées.
1. Interjeté en temps utile devant la juridiction compétente, le recours est recevable (art. 132 de la loi sur l'organisation judiciaire du 26 septembre 2010 - LOJ - E 2 05 ; art. 62 al. 1 let. a et 63 al. 1 let. b de la loi sur la procédure administrative du 12 septembre 1985 - LPA - E 5 10).
2. Le recourant sollicite l'apport de l'intégralité des pièces de la procédure en cours par-devant la commission diligentée contre les intimés ainsi que les Dres E______ et G______.
2.1 Tel qu’il est garanti par l'art. 29 al. 2 de la Constitution fédérale de la Confédération suisse du 18 avril 1999 (Cst. - RS 101), le droit d’être entendu comprend notamment le droit pour l’intéressé d’avoir accès au dossier (ATF 148 II 73 consid. 7.3.1 ; arrêt du Tribunal fédéral 2C_700/2022 du 28 novembre 2022 consid. 3 et les références citées).
2.2 En l'espèce, en tant que plaignant, le recourant a la qualité de partie dans le cadre de la procédure par‑devant la commission (art. 9 de la loi sur la commission de surveillance des professions de la santé et des droits des patients du 7 avril 2006 - LComPS - K 3 03). Par conséquent, il dispose d'un droit d'accès au dossier de ladite cause (art. 44 al. 1 LPA), étant précisé qu'il n'allègue pas avoir été empêché d'exercer ce droit. Il lui était donc loisible de produire toute pièce émanant de cette procédure qu'il aurait estimé utile. Il ne sera donc pas fait droit à sa demande. Au surplus, la procédure dont l'apport est demandé concerne la violation éventuelle des règles applicables aux professions médicales, tandis que la présente procédure traite de protection des données, si bien que leur objet est distinct.
3. Le recourant se plaint de la constatation inexacte ou incomplète des faits pertinents. La recommandation du préposé ne reposait que sur des informations produites par les intimés, qui étaient erronées. L'intégralité du personnel soignant avait accès au DPI et la période d'accès au dossier était illimitée. Il n'y avait pas besoin de justification valable pour accéder au DPI, dans la mesure où le logiciel se contentait de reprendre les informations liées au compte de celui qui se connectait et faisait ainsi de tout médecin qui consultait le dossier « un médecin en charge du patient ».
3.1 Selon l’art. 61 LPA, le recours peut être formé pour violation du droit y compris l’excès et l’abus du pouvoir d’appréciation (al. 1 let. a) et pour constatation inexacte ou incomplète des faits pertinents (al. 1 let. b). Les juridictions administratives n’ont pas compétence pour apprécier l’opportunité de la décision attaquée, sauf exception prévue par la loi (al. 2), non réalisée en l'espèce.
3.2 En application de la maxime inquisitoire, qui prévaut en droit public (art. 19 et 20 LPA), l’autorité définit les faits pertinents et ne tient pour existants que ceux qui sont dûment prouvés ; cette maxime oblige notamment les autorités compétentes à prendre en considération d’office l’ensemble des pièces pertinentes qui ont été versées au dossier. Elle ne dispense pas pour autant les parties de collaborer à l’établissement des faits (ATF 124 II 361 consid. 2b ; arrêt du Tribunal fédéral 2C_728/2020 du 25 février 2021 consid. 4.1) ; il leur incombe d’étayer leurs propres thèses, de renseigner le juge sur les faits de la cause et de lui indiquer les moyens de preuves disponibles (ATF 140 I 285 consid. 6.3.1), spécialement lorsqu’il s’agit d’élucider des faits qu’elles sont le mieux à même de connaître ou qui relèvent de leur sphère d’influence (arrêts du Tribunal fédéral 2C_284/2019 du 16 septembre 2019 consid. 4.3 ; 1C_426/2017 du 11 mars 2019 consid. 5.3 et les références citées).
3.3 La constatation des faits est, en procédure administrative, gouvernée par le principe de la libre appréciation des preuves (art. 20 al. 1 2e phr. LPA ; ATF 139 II 185 consid. 9.2 ; 130 II 482 consid. 3.2). Le juge forme ainsi librement sa conviction en analysant la force probante des preuves administrées et ce n’est ni le genre, ni le nombre des preuves qui est déterminant, mais leur force de persuasion (ATA/560/2024 du 7 mai 2024 et l'arrêt cité).
3.4 En l'espèce, par souci de clarté, il convient à titre préalable de préciser que la recommandation du préposé ne constitue pas une décision, ni même un avis contraignant (art. 49 al. 5 et 6 de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles du 5 octobre 2001 - LIPAD - A 2 08). Toutefois, dans la mesure où les intimés s'en sont remis à cette recommandation pour rendre la décision querellée, il y sera fait référence par analogie.
Il ressort des explications et des pièces produites par les parties que l'intégralité du personnel soignant a la possibilité matérielle d'accéder au DPI de chaque patient, selon les modalités qui seront exposées dans la suite du présent arrêt.
Contrairement à ce que semble soutenir le recourant, le préposé n'a pas indiqué le contraire, ni que la période d'accès au dossier serait illimitée. Il a en effet retenu que tous les collaborateurs des intimés n'avaient – formellement – pas les mêmes droits d'accès au DPI. Par conséquent, le recourant se méprend lorsqu'il prétend que le préposé aurait rendu sa recommandation en considérant que le DPI serait matériellement inaccessible pour certains collaborateurs. Au contraire, le fait qu'il ait précisé que les accès mis en place étaient très larges, de même que la suggestion qu'il a faite, soit que « les intimés donnent un accès complet au DPI au service des urgences mais le restreignent aux autres services », suggèrent qu'il a tenu compte du fait que l'intégralité du personnel soignant a la possibilité matérielle d'accéder au DPI de chaque patient.
Le grief devra donc être écarté.
4. Le recourant se plaint également d'une violation de la maxime inquisitoire. En effet, l'état de fait était lacunaire et ne correspondait pas à la réalité du quotidien des professionnels de l'institution. Les intimés n'avaient même pas envoyé un courriel à la personne d'un service compétent pour avoir plus de détails sur le fonctionnement des accès et les défauts du système. Ils n'avaient mis en place aucun contrôle.
Ce grief doit également être écarté. Outre le fait que les affirmations du recourant sont vagues et non étayées, il apparaît que les intimés ont dûment pris en compte l'ensemble des courriers envoyés et des pièces transmises par le recourant et qu'ils ont mené les enquêtes nécessaires. En particulier, les accès des Dres G______ et E______ ont fait l'objet d'investigations, la situation de cette dernière ayant par ailleurs été rapportée aux personnes compétentes. De même, dans la mesure où il est établi et non contesté que l'intégralité du personnel soignant a la possibilité – matérielle – d'accéder au DPI, on ne voit pas quelles autres investigations les intimés auraient pu ou dû mener pour établir les faits pertinents, concernant de surcroît leur propre système informatique, ce d'autant plus qu'ils ont exposé à plusieurs reprises, que ce soit avant ou après le dépôt du recours, quelles étaient les mesures de protection (des données du patient) déjà existantes et, implicitement, leurs inévitables limites. Ces mesures et limites sont logiquement connues d'eux, ont été prises en compte et n'avaient dès lors pas besoin d'investigations supplémentaires.
Enfin, la question de la mise en place – ou non – d'éventuels contrôles ne relève pas des faits, mais du droit, et sera examinée ci-après.
5. Le recourant invoque une violation du principe de la bonne foi. Il s'était fié à la directive remise par les intimés pour demander des mesures de protection de sa personnalité. Or, ils lui avaient ensuite indiqué que cette directive ne lui était pas applicable.
5.1 Découlant directement de l'art. 9 Cst. et valant pour l’ensemble de l’activité étatique, le principe de la bonne foi protège le citoyen dans la confiance légitime qu’il met dans les assurances reçues des autorités lorsqu'il a réglé sa conduite d'après des décisions, des déclarations ou un comportement déterminé de l'administration (ATF 143 V 95 consid. 3.6.2 ; arrêt du Tribunal fédéral 1C_204/2022 du 21 mars 2023 consid. 5.1). Une norme ne saurait valoir assurances données par l'autorité au sens du principe de la bonne foi, puisqu'elle couvre une situation générale et abstraite (arrêt du Tribunal fédéral 1C_176/2016 et 1C_179/2016 du 10 mai 2017 consid. 7.2).
5.2 En l'espèce, à la suite de la « plainte » du recourant du 23 février 2023, les intimés ont transmis à ce dernier, par courriel du 17 avril 2023 et à titre d'information, une directive portant sur la confidentialité liée aux patients. Exception faite des salutations d'usage, ledit courriel ne contient pas d'autres indications que « en réponse à votre demande », en particulier pas de promesse que des mesures de protection seraient – ni même pourraient être – prises en faveur du recourant. Si cette réponse peut certes paraître laconique, il n'en demeure pas moins qu'il ne s'agit là que de la simple transmission d'une directive à titre d'information, qui, à l'instar de ce qui prévaut en matière de normes, ne saurait équivaloir à une assurance donnée par une autorité, puisque la directive couvre une situation générale et abstraite. Les intimés n'ont donc pas violé le principe de la bonne foi.
Le grief sera donc écarté.
6. Le litige consiste à déterminer si le recourant a subi une atteinte illicite à sa personnalité en raison, d'une part, du traitement de ses données médicales par les intimés et, d'autre part, de l'accès à son dossier médical par les Dres G______ et E______.
7. Le recourant allègue en particulier que le droit au respect de sa vie privée a été atteint par ces opérations. Le fait pour les intimés de rendre les dossiers médicaux du personnel accessibles à tous les membres du personnel soignant n'était pas une mesure nécessaire pour atteindre le but visé. Des mesures techniques de blocage devaient être prises. Il était loisible aux intimés de l'inscrire sous un autre patronyme, tout en faisant en sorte que ses données soient disponibles en tout temps pour ses soignants. Il leur était loisible d'étendre le champ d'application de leur règlement aux patients membres de son personnel afin de préserver leur sphère privée à l'égard de leur collègue. En outre, pour éviter des biais et des discriminations, de nombreux hôpitaux en Suisse cloisonnaient le dossier psychiatrique du patient, lequel n'était disponible que pour les personnes affectées à ce service. Les intimés ne pouvaient pas compter sur la bonne foi de leurs employés pour protéger l'accès aux dossiers des patients.
7.1 Les art. 13 al. 2 Cst. et 21 al. 2 de la Constitution de la République et canton de Genève du 14 octobre 2012 (Cst-GE - A 2 00) prévoient que toute personne a le droit d’être protégée contre l’emploi abusif des données qui la concernent.
En Suisse, toute personne a le droit de déterminer elle-même si et dans quels buts des informations à son sujet peuvent être traitées (ATF 138 II 346 consid. 8.2 = JdT 2013 I 71). Ce droit fondamental à l’autodétermination en matière informationnelle découle des articles 8 § 1 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales du 4 novembre 1950 (CEDH - RS 0.101) et 13 al. 2 Cst. (ATF 140 I 381 consid. 4.1). Plusieurs droits spécifiques le composent, notamment le droit de connaître l’existence de données personnelles, de les consulter, de faire rectifier des données inexactes ou de faire radier ses propres données, de s’opposer au traitement de ses données et le droit à la sécurité des données (ATA/649/2023 du 20 juin 2023 consid. 2.3.2.1 ; Marie MAJOR, Questions spécifiques / Le droit d’accès de l’employé à son dossier personnel ; in Jean-Philippe DUNAND/Pascal MAHON [éd.], La protection des données dans les relations de travail, 2017, p. 288 et la référence citée).
7.2 La LIPAD régit l’information relative aux activités des institutions et la protection des données personnelles (art. 1 al. 1 LIPAD). Elle poursuit deux objectifs, à savoir, d’une part, favoriser la libre formation de l’opinion et la participation à la vie publique et, d’autre part, protéger les droits fondamentaux des personnes physiques ou morales de droit privé quant aux données personnelles les concernant (art. 1 al. 2 let. a et b LIPAD). Elle comporte ainsi deux volets, l’un concernant l’information du public et l’accès aux documents réglé dans le titre II (art. 5 ss LIPAD), qui n’est pas en cause dans le cadre du présent recours, et l’autre portant sur la protection des données personnelles, dont la réglementation est prévue au titre III (art. 35 ss LIPAD).
Elle s'applique notamment aux institutions, établissements et corporations de droit public cantonaux et communaux, ainsi que leurs administrations et les commissions qui en dépendent (art. 3 al. 1 let. c LIPAD).
7.2.1 Selon l'art. 35 LIPAD, les institutions publiques ne peuvent traiter des données personnelles que si, et dans la mesure où, l'accomplissement de leurs tâches légales le rend nécessaire (al. 1). Des données personnelles sensibles ou des profils de la personnalité ne peuvent être traités que si une loi définit clairement la tâche considérée et si le traitement en question est absolument indispensable à l'accomplissement de cette tâche ou s’il est nécessaire et intervient avec le consentement explicite, libre et éclairé de la personne concernée (al. 2).
Aux termes de l'art. 4 LIPAD, on entend par données personnelles (ou données) toutes les informations se rapportant à une personne physique ou morale de droit privé, identifiée ou identifiable (let. a). Sont des données personnelles sensibles notamment les données personnelles sur la santé, la sphère intime ou l'appartenance ethnique (let. b ch. 2). Constitue un traitement toute opération relative à des données personnelles – quels que soient les moyens et procédés utilisés – notamment la collecte, la conservation, l'exploitation, la modification, la communication, l'archivage ou la destruction de données (let. e). La communication est le fait de rendre accessibles des données personnelles ou un document, par exemple en autorisant leur consultation, en les transmettant ou en les diffusant (let. f).
L'art. 4 let. e LIPAD reprend la définition du droit fédéral (MGC 2005-2006 X A 8495). En droit fédéral, la notion de traitement est entendue dans un sens très large : elle comprend toute opération relative à des données, en particulier chacune des diverses phases du traitement. Elle englobe également la simple conservation des données, voire leur archivage, car même à ces stades du traitement des atteintes à la personnalité sont possibles, par exemple si la sécurité des données laisse à désirer. La communication constitue une forme particulière du traitement, notamment car il est nécessaire d'exemplifier les diverses formes de communication possibles. Il y a communication à chaque fois que des données ont été rendues accessibles d'une manière ou d'une autre. Tel est le cas de l'accès à un fichier au moyen d'une liaison en ligne, de la copie de bandes magnétiques ou, tout simplement, de la transmission de données extraites d'un fichier (FF 1988 II 421, 455).
7.2.2 L'art. 36 al. 1 LIPAD dispose que les institutions publiques veillent, lors de tout traitement de données personnelles, à ce que ces dernières soient pertinentes et nécessaires à l'accomplissement de leurs tâches légales (let. a) ainsi qu'exactes et si nécessaire mises à jour et complétées, autant que les circonstances permettent de l’exiger (let. b).
7.2.3 Aux termes de l'art. 37 LIPAD, les données personnelles doivent être protégées contre tout traitement illicite par des mesures organisationnelles et techniques appropriées (al. 1). Les institutions publiques prennent, par le biais de directives ainsi que de clauses statutaires ou contractuelles appropriées, les mesures nécessaires pour assurer la disponibilité, l’intégrité et la confidentialité des données personnelles qu’elles traitent ou font traiter (al. 2).
7.2.4 Selon l'art. 38 LIPAD, la collecte de données personnelles doit être faite de manière reconnaissable pour la personne concernée (al. 1). Sont réservés les cas dans lesquels le caractère reconnaissable de la collecte compromettrait l'engagement, le déroulement ou l'aboutissement d'enquêtes menées légalement sur le respect de conditions ou d'obligations légales (al. 2). Les institutions publiques doivent pouvoir indiquer la source des données qu’elles détiennent (al. 3).
7.3 Selon son art. 1, la loi sur la santé du 7 avril 2006 (LS - K 1 03) a pour but de contribuer à la promotion, à la protection, au maintien et au rétablissement de la santé des personnes, des groupes de personnes, de la population et des animaux, dans le respect de la dignité, de la liberté et de l’égalité de chacun (al. 1). Elle garantit une égalité d’accès de chacun à des soins de qualité (al. 2).
La LS définit et encourage le partenariat entre les acteurs publics et privés du domaine de la santé et régit les soins (art. 3 al. 1 LS). Elle définit notamment les relations entre patients, membres des professions de la santé, personnes exerçant des pratiques complémentaires et institutions de santé (art. 3 al. 2 let. d LS).
7.3.1 Selon l'art. 52 LS, tout professionnel de la santé pratiquant à titre dépendant ou indépendant doit tenir un dossier pour chaque patient (al. 1 LS). Le Conseil d’État fixe les exigences minimales concernant la tenue et le traitement des dossiers, y compris dans les institutions de santé (al. 3).
Le dossier comprend toutes les pièces concernant le patient, notamment l’anamnèse, le résultat de l’examen clinique et des analyses effectuées, l’évaluation de la situation du patient, les soins proposés et ceux effectivement prodigués, avec l’indication de l’auteur et de la date de chaque inscription (art. 53 LS). Le but de fixer le contenu minimal d'un dossier est de permettre à un autre professionnel de la santé de disposer des informations pertinentes relatives à un patient pour continuer des soins (MGC 2003-2004/XI A 5850).
Le dossier du patient peut être tenu sous forme informatisée, pour autant que toute adjonction, suppression ou autre modification reste décelable et que l’on puisse identifier son auteur et sa date (art. 54 LS).
7.3.2 Selon l'art. 56 LS, le traitement des données du patient, en particulier la communication de données à autrui, est régi par la législation fédérale, la législation cantonale sur la protection des données personnelles ainsi que par les dispositions spéciales de la LS (al. 1). Le traitement des données dans le cadre du réseau communautaire d’informatique médicale est au surplus régi par la loi spéciale y relative (al. 2).
Les éléments du dossier doivent être conservés aussi longtemps qu’ils présentent un intérêt pour la santé du patient, mais au moins pendant dix ans dès la dernière consultation (art. 57 al. 1 LS).
7.3.3 Les exigences en matière de tenue de dossier des professionnels de la santé diffèrent en fonction de l’endroit où la profession est exercée, non seulement au niveau de la répartition géographique des compétences législatives (le droit applicable diffère entre deux cantons), mais également en fonction du statut du professionnel de la santé (exercice en institution publique ou en cabinet privé/institution privée). D’un canton à l’autre, les exigences relatives au contenu du dossier médical ne sont pas uniformes (Yves DONZALLAZ, Traité de droit médical – Vol. II, Le médecin et les soignants, 2021, p. 2853).
7.4 Dans le secteur public, les médecins hospitaliers sont soumis au droit public cantonal. Les hôpitaux de droit public ou encore les institutions psychiatriques sont normalement soumis aux dispositions de protection des données de leur canton (Yves DONZALLAZ, op. cit., p. 3019).
7.5 Le traitement de données constitue une atteinte à la liberté personnelle et au droit au respect de la vie privée (ATF 122 I 360 consid. 5a = JdT 1998 I p. 203 ss, 204). Comme tout droit fondamental, les droits à la liberté personnelle et à la protection de la sphère privée peuvent être restreints à certaines conditions. Selon l’art. 36 Cst., toute restriction d’un droit fondamental doit être fondée sur une base légale. Les restrictions graves doivent être prévues par une loi. Les cas de danger sérieux, direct et imminent sont réservés (al. 1). Toute restriction d’un droit fondamental doit être justifiée par un intérêt public ou par la protection d’un droit fondamental d’autrui (al. 2) et être proportionnée au but visé (al. 3). L’essence des droits fondamentaux est inviolable (al. 4).
7.5.1 En particulier, le traitement d'informations personnelles méritant une protection particulière exige une base légale claire, à moins que ce traitement d'informations ne soit indispensable à l'accomplissement d'une tâche clairement prévue dans une loi au sens formel, mais il faut encore que les droits de la personne concernée ne soient pas menacés, ou qu'elle y ait consenti dans le cas particulier, ou encore qu'elle ait rendu ses données accessibles à tout un chacun (ATF 122 I 360 consid. 5b = JdT 1998 I p. 203 ss, 207).
7.5.2 Le principe de proportionnalité, garanti par l'art. 36 al. 3 Cst., se compose des règles d'aptitude – qui exige que le moyen choisi soit propre à atteindre le but fixé – , de nécessité – qui impose qu'entre plusieurs moyens adaptés, l'on choisisse celui qui porte l'atteinte la moins grave aux intérêts privés – et de proportionnalité au sens étroit – qui met en balance les effets de la mesure choisie sur la situation de l'administré et le résultat escompté du point de vue de l'intérêt public (ATF 140 I 218 consid. 6.7.1 ; 136 IV 97 consid. 5.2.2).
7.6 L'art. 47 al. 1 LIPAD prévoit que toute personne physique ou morale de droit privé peut notamment, à propos des données la concernant, exiger des institutions publiques qu’elles s’abstiennent de procéder à un traitement illicite (let. a), mettent fin à un traitement illicite et en suppriment les effets (let. b) ou constatent le caractère illicite du traitement (al. 3). Sauf disposition légale contraire, elle est en particulier en droit d’obtenir des institutions publiques, à propos des données la concernant, qu’elles détruisent celles qui ne sont pas pertinentes ou nécessaires (art. 47 al. 2 let. a LIPAD).
7.7 Selon l'art. 49 LIPAD, toute requête fondée sur l'art. 47 LIPAD notamment doit être adressée par écrit au responsable chargé de la surveillance de l’organe dont relève le traitement considéré (al. 1). Si le responsable n’entend pas faire droit intégralement aux prétentions du requérant ou en cas de doute sur le bien-fondé de celles-ci, il transmet la requête au préposé cantonal avec ses observations et les pièces utiles (al. 2). Le préposé cantonal instruit la requête de manière informelle, puis il formule, à l’adresse de l’institution concernée et du requérant, une recommandation écrite sur la suite à donner à la requête (al. 3). L’institution concernée statue alors par voie de décision dans les dix jours sur les prétentions du requérant (al. 4).
7.8 De jurisprudence constante, la relation entre le médecin et son patient est régie par les règles relatives au contrat de mandat (ATF 110 II 375). Le médecin répond de la bonne et fidèle exécution du mandat (art. 398 al. 2 de la loi fédérale du 30 mars 1911, complétant le Code civil suisse - CO, Code des obligations - RS 220). De manière générale, on attend du médecin qu'il fasse preuve de diligence dans l'établissement du diagnostic, dans le choix du traitement puis dans son administration (ATF 105 II 284 ; Olivier GUILLOD, droit médical, 2020, p. 491 n. 573). Le médecin viole son devoir de diligence lorsqu’il pose un diagnostic ou choisit une thérapie ou une autre méthode qui, selon l’état général des connaissances professionnelles, n’apparaît plus défendable et ne satisfait pas aux exigences objectives de l’art médical (ATF 134 IV 175 consid. 3.2 ; arrêt du Tribunal fédéral 6B_63/2020 du 10 mars 2021 consid. 3.3.2).
8. En l'espèce, les intimés sont soumis à la LIPAD puisqu'ils constituent un établissement de droit public doté de la personnalité juridique (art. 3 al. 1 let. c LIPAD ; art. 5 al. 1 de la loi sur les établissements publics médicaux du 19 septembre 1980 - LEPM - K 2 05). En revanche, pour ce même motif, l'ancienne loi fédérale du 19 juin 1992 sur la protection des données (aLPD ; RS 235.1), abrogée le 1er septembre 2023, soit après le prononcé de la décision querellée, n'est pas applicable au présent cas (art. 2 al. 1 a contrario LPD ; ATF 122 I 153 consid. 2 ; arrêt du Tribunal fédéral 2C_1084/2015 du 16 septembre 2016 consid. 2.2).
Il n'est pas contesté que les données médicales du recourant, qui sont en cause, sont des données sensibles, puisqu'elles se rapportent à son dossier médical et donc à sa santé. Il n'est pas non plus contesté que ces données ont fait – et font – l'objet d'un traitement au sens de l'art. 4 let. e LIPAD. En effet, d'une part, le personnel soignant des intimés a constitué le dossier patient du recourant en y consignant les données médicales pertinentes, lesquelles sont consultables par le personnel médical selon les modalités qui seront examinées ci-après. D'autre part, la consultation de ces données par les Dres G______ et E______ constitue également un traitement de données au sens de la LIPAD puisque ces dernières ont pu y avoir accès en leur qualité de membres du personnel des intimés.
Ce traitement porte atteinte à la liberté personnelle et au droit au respect de la vie privée du recourant. L'atteinte n'est licite que si elle repose sur une base légale, est justifiée par un intérêt public ou par la protection d’un droit fondamental d’autrui et est proportionnée au but visé.
8.1 Se pose en premier lieu la question de savoir si le traitement des données médicales du recourant repose sur une base légale suffisante.
L'art. 56 LS prévoit en particulier que le traitement des données du patient est régi par la législation cantonale sur la protection des données personnelles, par quoi il faut notamment entendre la LIPAD. L'art. 35 de cette dernière loi dispose que les institutions publiques, à l'instar des intimés, ne peuvent traiter des données personnelles que si, et dans la mesure où, l'accomplissement de leurs tâches légales le rend nécessaire. Cette même disposition précise que les données personnelles sensibles ne peuvent être traitées que si une loi définit clairement la tâche considérée.
Le traitement des données médicales des patients par les membres du personnel des intimés repose sur l'obligation pour tout professionnel de la santé de tenir un dossier pour chaque patient. Cette obligation est prévue à l'art. 52 LS. Le dossier doit en outre comprendre un certain nombre d'informations listées à l'art. 53 LS.
Il apparaît donc que le traitement des données médicales par les intimés est régi par un principe de nécessité prévu expressément par une base légale formelle, soit l'art. 35 LIPAD. Ce traitement de données est justifié par l'obligation, pour tout professionnel de la santé, de tenir un dossier pour chaque patient, laquelle est prévue à l'art. 52 LS, qui est également une base légale formelle. Cette obligation découle logiquement d'un des buts de cette dernière loi, soit protéger la santé des patients.
Les art. 35 al. 1 LIPAD, par renvoi de l'art. 56 LS, et 52 LS constituent donc des bases légales suffisantes pour le traitement des données personnelles sensibles des patients. Si l'on peut certes se demander si ces dispositions définissent clairement les modalités du traitement des données médicales, les développements qui précèdent montrent toutefois que, conformément à la jurisprudence précitée, une telle exigence n'est de toute façon pas requise. En effet, d'une part, ce traitement d'informations est indispensable à l'accomplissement d'une tâche clairement prévue dans une loi au sens formel. D'autre part, en acceptant de recevoir des soins de la part de professionnels de la santé et en fournissant les informations nécessaires, le patient accepte, implicitement à tout le moins, que ses données médicales soient collectées et fassent l'objet d'un traitement. Il en va de son propre intérêt à recevoir les soins appropriés.
8.2 La solution apportée au présent litige commande de distinguer, dans la suite du raisonnement, les questions de la collecte des données médicales, des possibilités générales d'accès à ces données par le personnel soignant et de l'accès au dossier du recourant par la Dre G______, d'une part, et celle de l'accès à son dossier par la Dre E______, d'autre part.
8.2.1 Le traitement des données médicales, en particulier leur collecte, leur conservation, leur exploitation et leur consultation par le personnel soignant, repose sur un intérêt public évident, soit la protection de la santé des patients, qu'ils soient membres ou non du personnel des B______. Il a notamment pour but de garantir la qualité des soins et la prise en charge cohérente et efficace des patients.
8.2.2 Ledit traitement est apte à atteindre ces intérêts publics, dans la mesure où le personnel soignant a accès, le cas échéant, aux informations nécessaires pour prendre correctement en charge le patient.
La question de la nécessité de la mesure et sa proportionnalité (au sens étroit) mérite une réflexion plus approfondie. Il sied de rappeler que, conformément à l'art. 37 LIPAD, les intimés doivent prendre des mesures organisationnelles et techniques appropriées pour protéger les données personnelles contre tout traitement illicite. En particulier, elles doivent prendre, par le biais de directives ainsi que de clauses statutaires ou contractuelles appropriées, les mesures nécessaires pour assurer la disponibilité, l’intégrité et la confidentialité des données personnelles qu’elles traitent ou font traiter.
Le document intitulé « guide et règles d'octroi des droits d'accès au DPI », dans sa version au 27 janvier 2017, approuvé par les B______ le même jour, prévoit que l'octroi d'un droit d'accès au DPI dépend de l'activité du collaborateur (profil d'accès), est localisé à un ou plusieurs services médicaux ou unités de soins et est défini dans le temps, en fonction de la durée de l'activité du collaborateur.
Le document intitulé « PSSI : droits d'accès aux applications et espaces de stockage de données » (version 3.0), mise à jour le 5 octobre 2023 par les B______, qui décline les principes fondamentaux organisant et encadrant l'attribution, l'utilisation et le contrôle des droits d'accès aux applications et environnement de stockage informatique du système d'information des B______ concrétise le « guide et règles d'octroi des droits d'accès au DPI ». Il prévoit que le droit d'accès d'un utilisateur à un dossier patient dépend de trois conditions : 1) son profil par défaut (médecin, soignant p. ex.) ; 2) sa zone géographique d'activité, matérialisé par les zones d'activité médicales et les zones d'activité de soin ; 3) un facteur temporel permettant de limiter la période d'accessibilité du dossier en rapport avec l'épisode de soin. En situation d'urgence, si un professionnel n'arrive pas à accéder à un dossier patient car l'un des trois déterminants n'est pas respecté, un accès par exception au dossier en « vitre brisée » est possible. Ce droit de « briser une vitre » est réservé à certains profils et sous réserve d'une justification dans une liste de motifs proposés. Les accès en « vitre brisée » sont conservés dans les traces d'accès aux dossiers.
Il ressort ainsi de ce qui précède, mais aussi des explications des intimés, que ces derniers ont pris les mesures organisationnelles et techniques appropriées pour protéger les données personnelles des patients contre tout traitement illicite, ou à tout le moins limiter le risque d'atteinte – aucun système de protection, notamment informatique, ne pouvant garantir une sécurité absolue des données traitées – , et ont choisi la mesure qui porte l'atteinte la moins grave aux intérêts privés des patients. En effet, si, matériellement, tous les membres du personnel médical ont accès au DPI, tous n'ont en revanche pas les mêmes droits d'accès, qui sont délimités selon les trois critères précités. Concrètement, le personnel soignant n'a le droit d'accéder au dossier d'un patient que dans le cadre d'une relation thérapeutique avec celui-ci et n'a un droit d'accès qu'aux données relevant de son propre secteur. Ces droits sont limités dans le temps et dépendent de l'épisode de soin.
Lorsqu'un membre du personnel soignant ne remplit pas l'un des trois critères, il ne dispose pas du droit d'accès et ne peut accéder à un dossier que s'il justifie d'un motif valable, qu'il doit indiquer dans le système informatique, à défaut de quoi l'accès au dossier lui est refusé. Ainsi, contrairement à ce que prétend le recourant, le système mis en place par les intimés ne permet pas à tout le personnel médical d'avoir accès à toutes les informations sans distinction du niveau de protection. Comme le démontrent notamment les captures d'écran fournies par le recourant, les connexions hors prise en charge sont enregistrées dans le système, ce qui permet d'assurer la traçabilité des accès et de dissuader le personnel soignant d'accéder indûment à un dossier, sous peine de sanctions administratives et/ou pénales (cf. infra). Il convient par ailleurs de préciser que ces captures d'écran permettent certes de constater que la Dre E______ a pu consulter le dossier du recourant hors de toute relation thérapeutique (il y est indiqué que la Dre E______ était dans une relation thérapeutique autorisée avec le patient et qu'elle était en charge de lui, ce qui est toutefois faux) mais elles ne sont pas de nature à prouver que celle-ci aurait eu accès à son dossier sans avoir eu besoin de faire valoir un motif justificatif. Les allégations du recourant en ce sens ne sont donc pas fondées.
En outre, la charte des B______ pour la sécurité et le bon usage de l'outil informatique, approuvée le 27 juillet 2022, qui est transmise à chaque collaborateur des intimés en plus des formations qui sont dispensées en matière de protection des données, permet de sensibiliser individuellement ces derniers sur les règles à observer afin de garantir la confidentialité des données personnelles sensibles des patients, règles auxquelles ils peuvent se soustraire. La charte rappelle en particulier que « tous les collaborateurs des B______ sont soumis à deux types de secret leur interdisant de divulguer des informations connues ou utilisées dans le cadre de leur exercice professionnel, sauf autorisation expresse, à savoir le secret de fonction et le secret professionnel. La violation du secret de fonction et/ou professionnel est une infraction pénale. En conséquence, dans le cadre de l’exercice de son activité professionnelle, tout collaborateur des B______ a l’obligation de n’accéder à un dossier médical que dans le cadre d’une relation thérapeutique (prise en charge) ou d’une justification valide, conformément aux règles concernant le secret professionnel ». Ces indications, en particulier la menace de sanctions pénales en cas d'accès indu à un dossier médical, sont également de nature à avoir un effet dissuasif important. La directive des B______ intitulée « consultation du dossier médical », approuvée le 21 juillet 2022, prévoit d'ailleurs qu'un accès non autorisé au dossier médical d'un patient par un collaborateur des B______ peut mener à une sanction disciplinaire, fondée sur la violation du secret professionnel ou du secret de fonction.
On ne voit pas quel autre moyen permettant d'atteindre le but visé porterait moins atteinte aux intérêts des patients et du recourant. En effet, comme l'a relevé le Conseil d'éthique clinique des B______ dans sa recommandation du 22 mars 2011, limiter l’accès aux dossiers médicaux des employés des B______, en ne donnant accès qu’aux soignants référents, représenterait un surcroît de travail disproportionné mais surtout compliquerait la prise en charge du patient ainsi que la fourniture des soins. Un exemple dans ce sens serait celui des infirmiers amenés à effectuer des missions dans d'autres unités que celles auxquelles ils sont affectés, puisque l'infirmier qui effectue le soin doit en principe le valider lui-même dans le DPI et doit ainsi y avoir accès. La limitation des accès tel qu'évoquée n'est donc pas une mesure apte à garantir la sécurité des patients.
Le patronyme fictif que le recourant souhaiterait se voir accorder n'est, selon la directive des B______ intitulée « confidentialité liée aux patients », en vigueur depuis le 2 février 2015, pas une mesure destinée aux collaborateurs des B______, tel que lui, de sorte qu'il ne dispose d'aucun droit à bénéficier de cette mesure, d'une part. D'autre part, celle-ci doit revêtir un caractère exceptionnel, notamment renforcer la sécurité des personnalités publiques et garantir la discrétion de certaines hospitalisations. Or, le recourant ne prétend pas être une personnalité publique et ne saurait non plus se prévaloir d'une (autre) situation exceptionnelle justifiant l'octroi d'un patronyme fictif. Le fait qu'il travaille aux B______, tout comme pas moins de 1______ collaborateurs (voir le rapport annuel 2023 des intimés, disponible à l'adresse : https://______, page consultée le 28 mai 2024), ne constitue pas une telle situation. Contrairement à ce qu'il soutient, on ne voit pas ce qui justifierait d'appliquer ladite directive aux collaborateurs des intimés également, les mesures de protection de leurs données médicales mises en place par l'établissement étant déjà suffisantes pour garantir le respect de leur sphère privée, y compris à l'égard de leurs collègues. À cela s'ajoute le fait que, comme l'ont expliqué les intimés, l'usage d'un patronyme fictif comporte un risque d'erreurs plus important dans la saisie ou la recherche des informations médicales, et donc un risque plus élevé d'atteinte à la santé des patients. Il se justifie dès lors d'autant plus de réserver cette mesure aux cas exceptionnels prévus dans ladite directive.
Enfin, pour ce qui a trait à la pesée des intérêts, le système actuel permet de prendre en compte les besoins du système de santé. En effet, comme l'ont expliqué les intimés de façon convaincante, un accès en « bris de vitre » est toujours nécessaire au vu des situations nombreuses et variées, telles qu'une urgence médicale, pouvant nécessiter l'accès à un dossier hors service ou hors relation thérapeutique préexistante, ceci afin d'assurer la qualité ou le suivi des soins et permettre aux membres du personnel soignant d'exercer leur activité avec diligence. Le dossier doit dès lors être exhaustif, ceci notamment afin de pouvoir permettre au personnel médical d'appréhender l'état médical du patient de façon globale. Le dossier psychiatrique du patient, qui fait partie des informations nécessaires à la prise en charge de tout patient, ne saurait dès lors être retranché du dossier médical accessible au personnel soignant en charge d'un patient, contrairement à ce que suggère le recourant. À cet égard, les comparaisons de ce dernier avec d'autres hôpitaux en Suisse qui cloisonneraient le dossier psychiatrique du patient ne sont pas pertinentes, puisque les exigences relatives au contenu du dossier médical diffèrent d'un canton à l'autre.
Le traitement des données médicales exhaustives est nécessaire pour assurer la prise en charge des patients et leur prodiguer les soins adéquats, ce qui représente un intérêt public de premier plan mais aussi une obligation contractuelle et légale du personnel soignant, qui est soumis à un devoir de diligence qui doit être prise en compte. Ledit traitement reste ainsi dans un rapport raisonnable avec l'atteinte portée à la liberté personnelle et au droit au respect de la vie privée du recourant, ce d'autant plus que cette atteinte va dans son intérêt en tant que patient.
Le raisonnement qui précède vaut pour n'importe quel patient et rien ne justifie d'accorder une protection particulière à ceux qui sont membres du personnel des intimés, sauf à compliquer à l'excès le fonctionnement du système de santé et à consacrer une inégalité de traitement inadmissible.
La collecte et la conservation des données médicales du recourant par les intimés n'est dès lors pas constitutif d'une atteinte inadmissible au droit à la vie privée du recourant.
Cette conclusion s'impose également s'agissant de l'accès au dossier du recourant par la Dre G______. En effet, il ressort de la décision de la commission du 8 avril 2024 qu'il était manifestement attendu de l'intéressée une lecture des examens en vue de la validation ou de la modification de la prise en charge du recourant. Une mission d'analyse lui revenait, laquelle impliquait la prise en compte de tout élément médical pertinent. Il apparaît donc que la consultation du dossier médical du recourant, y compris son dossier psychiatrique, par la Dre G______ était justifié sur le plan médical. Elle s'insérait de surcroît dans le cadre d'une relation thérapeutique.
8.3 Autre est la question de l'accès au dossier du recourant par la Dre E______. En effet, il n'est pas contesté que celle-ci a consulté le dossier de l'intéressé hors de toute relation thérapeutique, après avoir contourné les mesures de sécurité en indiquant faussement être le médecin en charge du recourant. Cette consultation ne poursuivait aucun objectif de prise en charge médicale cohérente et efficace du recourant, puisque la Dre E______ n'était pas en charge de ce dernier. Un tel accès n'était destiné qu'à renseigner l'intéressée sur la situation personnelle du recourant, compte tenu de leur lien particulier. Elle ne repose donc sur aucun intérêt public ou privé poursuivi par la loi et est contraire au principe de proportionnalité. Elle constitue dès lors une atteinte inadmissible au droit au respect de la vie privée du recourant. Contrairement à ce que soutiennent les intimés, le fait que l'atteinte ait pu cesser rapidement, qu'il n'en est résulté aucun dommage pour le recourant et que la Dre E______ soit soumise à des obligations de confidentialité et de secret n'y change rien. Le grief devra dès lors être admis sur ce point.
8.4 Dans la mesure où seule la consultation du DPI du recourant par la Dre E______ est constitutive d'une atteinte illicite à la personnalité de ce dernier, il n'y a pas lieu d'ordonner des mesures « aptes à faire respecter les droits » de l'intéressé, soit notamment la destruction de l'intégralité de la documentation émanant du service de la psychiatrie figurant dans son DPI, son dossier psychiatrique étant de surcroît nécessaire pour une approche complète de sa situation médicale.
8.5 Il sera encore relevé que, contrairement à ce que soutient le recourant, la LRCIM n'est pas applicable au présent cas car elle ne concerne, selon son art. 1 al. 1, que la mise en place du réseau communautaire d’informatique médicale.
9. Le recourant soutient qu'aucun système de contrôle interne n'avait été mis en place pour s'assurer du respect des règles institutionnelles censées protéger sa personnalité.
9.1 Selon l'art. 37 al. 3 LIPAD, les institutions publiques sont tenues de contrôler le respect des directives et clauses visées à l'art. 37 al. 2 LIPAD. S’il implique l’exploitation de ressources informatiques et le traitement de données personnelles, ce contrôle doit s’exercer conformément à des procédures spécifiques que les instances mentionnées à l’art. 50 al. 2 LIPAD, soit, pour les B______, les instances directrices supérieures de l'établissement, doivent adopter à cette fin, après consultation du préposé cantonal.
9.2 En l'espèce, les intimés ont expliqué qu'un contrôle opérationnel était effectué en aval du traitement des données médicales. L'ensemble des accès est ainsi journalisé, ce qui permet un contrôle a posteriori des éventuels abus, soit dans le cadre de contrôles périodiques, soit dans le cadre d'une demande d'accès d'un patient à ses données. Il apparaît ainsi que les intimés ont mis en place une procédure permettant d'exercer ce contrôle.
S'ils n'ont certes pas allégué que le préposé avait été formellement consulté sur ce point avant l'ouverture de la présente procédure, ce dernier a, par la force des choses, été consulté dans le cadre de cette procédure. Les informations transmises par les intimés, soit que chaque navigation est enregistrée et que chaque patient peut accéder à la liste des accès à son dossier et éventuellement dénoncer un accès suspect qui fera, le cas échéant, l'objet d'investigations, l'ont mené à la conclusion que les intimés ont mis en place des mesures techniques et organisationnelles pour protéger les données d'une consultation indue. Il apparaît ainsi que le préposé a non seulement été suffisamment informé des procédures mises en place par les intimés mais également qu'il n'a pas formulé de réserves à ce propos. Les exigences de l'art. 37 al. 3 LIPAD doivent dès lors être considérées comme ayant été respectées.
Le grief sera donc écarté.
10. Le recourant prend des conclusions relatives à la « publicité » du présent arrêt, en lien avec la protection de sa personnalité, soit renoncer à mentionner certains faits allégués, féminiser sa qualité de partie et lui faire parvenir le présent arrêt avant sa publication pour validation.
10.1 Selon l'art. 61 LOJ, les juridictions publient leurs décisions de principe et les désignent comme telles (al. 1). Elles ont la faculté de publier d’autres décisions (al. 2). La publication se fait notamment sous forme électronique. Elle doit toujours respecter les intérêts légitimes des parties (al. 3).
10.2 Dans le cadre de l'information du public (Titre II chapitre II LIPAD), l'accès aux procédures judiciaires closes est régi par l'art. 20 al. 3 LIPAD. Selon cette disposition, lorsqu'une procédure est close, l'information en est donnée sous une forme appropriée dans la mesure où un intérêt prépondérant le justifie, en veillant au respect des intérêts légitimes des parties.
Par ailleurs, les arrêts et décisions définitifs et exécutoires des juridictions de jugement et des autres autorités judiciaires doivent être accessibles au public auprès d'un service central dépendant du pouvoir judiciaire ou du greffe des institutions dont ils émanent, dans une version ne permettant pas de connaître les données personnelles des parties et des tiers qui y sont mentionnés. Le caviardage de ces données n'est pas nécessaire s'il ne répond, dans l'immédiat ou à terme, à aucun intérêt digne de protection (art. 20 al. 4 LIPAD). Les arrêts et décisions des juridictions de jugement et des autres autorités judiciaires sont publiés sous une forme appropriée respectueuse des intérêts légitimes des parties, si et dans la mesure où la discussion et le développement de la jurisprudence le requièrent (art. 20 al. 5 LIPAD).
10.3 Selon l'art. 9 du règlement du pouvoir judiciaire sur l'accès aux documents et aux données personnelles du 1er novembre 2021, entré en vigueur le 1er janvier 2022 (RADPJ - E 2 05.52), les arrêts de la Cour de justice sont publiés sur le site Internet du pouvoir judiciaire (al. 1). Les décisions sont publiées après suppression des mentions soustraites au droit d'accès (al. 3), soit les mentions comportant des données, notamment personnelles, susceptibles de permettre l'identification d'une partie ou d'un tiers (art. 7 al. 1 RADPJ).
10.4 En l'espèce, le présent arrêt sera publié, sur le site Internet du Pouvoir judiciaire, conformément aux bases légales précitées. Ainsi, les mentions comportant des données, notamment personnelles, susceptibles de permettre l'identification du recourant, seront caviardées. La protection de sa personnalité de ce dernier sera donc assurée. Il n'y a, partant, pas lieu de renoncer à mentionner certains faits ni de féminiser la qualité de partie du recourant.
Quant à sa demande de lui faire parvenir le présent arrêt avant sa publication pour validation, la chambre de céans ne connaît pas une telle pratique, qui n’est au demeurant pas non plus prévue par la loi, si bien qu'il n'y sera pas donné suite.
En définitive, le recours sera partiellement admis et il sera constaté que l'accès au dossier du recourant par la Dre E______ constitue une atteinte illicite aux droits de l'intéressé.
11. Vu l'issue du litige, un émolument, réduit, de CHF 500.- sera mis à la charge du recourant, qui succombe dans une large mesure (art. 87 al. 1 LPA), et une indemnité de procédure, elle aussi réduite vu la faible mesure dans laquelle le recourant a eu gain de cause, de CHF 250.- lui sera allouée, à la charge des intimés (art. 87 al. 2 LPA). Il n'y a pas lieu d'octroyer un montant CHF 10'660.- correspondant à la note d'honoraires finale du conseil du recourant, puisque, de jurisprudence constante, l’indemnité allouée ne constitue qu’une participation aux honoraires d’avocat et que la juridiction saisie dispose d’un large pouvoir d’appréciation quant à la quotité de l’indemnité (ATA/600/2024 du 14 mai 2024 consid. 2.3 et les arrêts cités ; ATA/22/2024 du 9 janvier 2024 consid. 8 et l'arrêt cité).
* * * * *
PAR CES MOTIFS
LA CHAMBRE ADMINISTRATIVE
à la forme :
déclare recevable le recours interjeté le 14 septembre 2023 par A______ contre la décision des B______ du 28 juillet 2023 ;
au fond :
l'admet partiellement ;
constate que l'accès au dossier de A______ par la Dre E______ est illicite ;
rejette le recours pour le surplus ;
met un émolument de CHF 500.- à la charge de A______ ;
alloue une indemnité de procédure de CHF 250.- à A______, à la charge des B______;
dit que conformément aux art. 82 ss de la loi fédérale sur le Tribunal fédéral du 17 juin 2005 (LTF - RS 173.110), le présent arrêt peut être porté dans les trente jours qui suivent sa notification par-devant le Tribunal fédéral, par la voie du recours en matière de droit public ; le mémoire de recours doit indiquer les conclusions, motifs et moyens de preuve et porter la signature de la recourante ou de son mandataire ; il doit être adressé au Tribunal fédéral, 1000 Lausanne 14, par voie postale ou par voie électronique aux conditions de l'art. 42 LTF. Le présent arrêt et les pièces en possession du recourant, invoquées comme moyens de preuve, doivent être joints à l'envoi ;
communique le présent arrêt à Me Isabelle SOB, avocate du recourant, à Me Sylvain MÉTILLE, avocat des B______, ainsi qu'au préposé cantonal à la protection des données et à la transparence.
Siégeant : Claudio MASCOTTO, président, Florence KRAUSKOPF, Jean-Marc VERNIORY, Patrick CHENAUX, Eleanor McGREGOR, juges.
Au nom de la chambre administrative :
| la greffière-juriste :
M. MARMY
|
| le président siégeant :
C. MASCOTTO |
Copie conforme de cet arrêt a été communiquée aux parties.
| Genève, le
|
| la greffière : |