Je l'avoue : l'idée que mes informations médicales puissent circuler sans mon accord me glace le sang. Les dossiers de santé en ligne — des comptes patients hébergés par des hôpitaux, des plateformes de télémédecine ou des services comme Doctolib — contiennent le plus intime de notre vie. Si vous découvrez qu'ils ont été partagés sans votre consentement, vous êtes en droit de réagir rapidement et fermement. Voici le chemin que je préconise, construit à partir de démarches pratiques et du droit applicable en France et au regard du RGPD.

Agir immédiatement : sécuriser, documenter, couper la fuite

La première heure compte. Voici ce que je fais en priorité :

  • Couper l'accès : changer les mots de passe de votre compte patient et, si possible, désactiver temporairement le compte ou demander la suspension au service concerné.
  • Rassembler les preuves : faire des captures d'écran, conserver les e-mails, les liens partagés, les messages ou publications incriminés. Notez les dates, heures et adresses URL.
  • Sauvegarder les logs : demander immédiatement au fournisseur (hôpital, laboratoire, plateforme) les logs d’accès — IP, horodatage, identifiants des sessions. Ce sont souvent des éléments décisifs pour une plainte.
  • Isoler l'atteinte : informez votre médecin traitant et, si besoin, demandez que certaines informations sensibles soient restreintes ou anonymisées en urgence.

    • Ne supprimez rien avant d'avoir fait des captures et sauvegardes. Les fournisseurs ou les forces de l'ordre pourront avoir besoin des originaux numériques pour enquêter.

    Contacter le responsable du traitement (DPO) et obtenir des explications

    En France, tout établissement de santé ou plateforme doit avoir une personne en charge de la protection des données (Délégué à la protection des données, DPO). Je vous conseille d'envoyer un message écrit (mail recommandé si possible) pour :

  • Demander la suspension des accès non autorisés.
  • Réclamer les logs et la liste des personnes ayant accédé au dossier.
  • Exiger une copie des mesures prises pour remédier à la fuite et prévenir de nouvelles divulgations.

    • Conservez un accusé de réception. Si la réponse est tardive ou insatisfaisante, ce sera un élément à joindre à une saisine ultérieure de la CNIL ou à une plainte.

    Saisir la CNIL : le recours administratif

    Le RGPD reconnaît aux personnes un droit de contrôle sur leurs données de santé (catégorie particulière). La CNIL est compétente pour sanctionner les manquements. Je saisis la CNIL lorsque :

  • Le responsable de traitement n'a pas répondu ou n'a pas agi.
  • Les mesures prises sont insuffisantes (pas de limitation d'accès, pas d'information aux personnes concernées).

    • Vous pouvez déposer votre réclamation en ligne sur le site de la CNIL (cnil.fr). Joignez toutes les preuves et la correspondance que vous avez eue avec le fournisseur. La CNIL peut enquêter, imposer des mesures correctrices et infliger des sanctions administratives.

    Porter plainte : pénal ou civil ?

    Il y a deux voies souvent complémentaires :

  • Plainte pénale : pour atteinte à la vie privée et divulgation d'informations médicales. En droit français, la révélation d'informations à caractère secret ou la diffusion de la vie privée peut relever des articles du code pénal (notamment l’article 226-1 et suivants pour l’atteinte à la vie privée, et la jurisprudence pour les données médicales). Déposez plainte au commissariat, à la gendarmerie ou via la plateforme de plainte en ligne (service-public.fr). Joignez la documentation et demandez l'ouverture d'une enquête.
  • Action civile : si vous subissez un préjudice moral ou matériel (diffamation, préjudice d’image, conséquences professionnelles), vous pouvez saisir le tribunal civil pour obtenir réparation. Un avocat spécialisé en droit de la santé ou en protection des données peut vous conseiller sur l'opportunité d'une action et la constitution du dossier.

    • Sur la plainte pénale, insistez pour que soient réclamés les logs, les sauvegardes serveur et toute preuve technique permettant d'identifier les auteurs ou la chaîne de diffusion.

    Comment déposer une plainte efficace — checklist pratique

    Voici les éléments que j'inclus toujours dans une plainte pour maximiser ses chances :

  • Vos coordonnées et celles du responsable du traitement (nom de l'hôpital, de la plateforme).
  • Description précise des faits : dates, heures, comment vous avez découvert la fuite.
  • Liste des preuves : captures d'écran, e-mails, publications, liens, copie de la page ou des messages.
  • Preuves d'impact : messages reçus, réactions publiques, conséquences professionnelles ou personnelles.
  • Demandes précises : suspension des accès, communication des logs, suppression des copies diffusées, réparation financière le cas échéant.

    • Modèle rapide de message à adresser au DPO (extrait)

    Je vous propose un court modèle que j'utilise souvent pour obtenir des réponses rapides :

    ObjetAccès non autorisé / divulgation de mon dossier médical — demande urgente de suspension et de communication des logs
    CorpsMadame, Monsieur,
    Je vous informe que mon dossier médical référencé sous [identifiant patient] a été rendu accessible/partagé sans mon consentement le [date]. Je demande la suspension immédiate de tout accès non autorisé, la suppression des copies diffusées et la communication des logs d’accès (adresses IP, horodatage, identifiants) relatifs à cet incident. Je joins à ce courrier les preuves en ma possession. À défaut de réponse sous 48 heures, je me verrai contrainte de saisir la CNIL et le procureur de la République.
    Cordialement,
    [Nom, coordonnées]

    Penser aux démarches annexes : communication et réparation

    Selon l'ampleur de la fuite, pensez aussi à :

  • Informer les personnes concernées autour de vous (famille, employeur) si la fuite peut leur causer un dommage.
  • Consulter un avocat pour évaluer une demande d’indemnisation et préparer une action civile.
  • Surveiller votre e-réputation et demander la suppression des copies : hébergeurs, réseaux sociaux et moteurs de recherche (droit à l’oubli partiel).
  • Demander un accompagnement psychologique si l'atteinte à la vie privée génère du stress ou de l'anxiété.

    • Quelques remarques sur les responsabilités techniques

    Il est utile de savoir qui peut être mis en cause :

  • Le responsable du traitement (l'hôpital, le laboratoire, la plateforme) : obligation de sécurité et de confidentialité.
  • Le sous-traitant (hébergeur, prestataire informatique) : responsabilité partagée si la faille provient d'une mauvaise gestion technique.
  • Un individu malveillant (employé, prestataire, tiers) : responsabilité pénale possible.

    • La preuve technique (logs serveur, sauvegardes) est souvent la clé pour identifier la source. C'est pourquoi je demande toujours ces éléments rapidement, et j'insiste pour qu'ils soient préservés et remis aux autorités.

    Si vous avez besoin, je peux vous aider à rédiger la plainte, préparer le dossier pour la CNIL ou suggérer des avocats spécialisés. Sur Nevousindignezpas (https://www.nevousindignezpas.fr), je publie aussi des fiches pratiques et des modèles de courriers pour accompagner ces démarches : n'hésitez pas à revenir vers moi.