Aux termes de son arrêt du 6 novembre 2003, Bodil Lindqvist, affaire C-101/0, la CJUE (Cour de justice de l’Union européenne) retient la définition suivante : « Eu égard à l’objet de [la directive du 24 octobre 1995], il convient de donner à l’expression « données relatives à la santé » employée à son article 8, paragraphe 1, une interprétation large de sorte qu’elle comprenne des informations concernant tous les aspects, tant physiques que psychiques, de la santé d’une personne… » En leur qualité de données sensibles, elles sont protégées par le secret médical. Dès qu’elles sont collectées et stockées, ces informations font l’objet d’une protection particulièrement sécurisée, qui malheureusement n’est pas sans faille.
Ce dispositif de sécurisation des données doit rechercher un délicat équilibre entre la préservation du secret médical, et l’exigence croissante de qualité de la prise en charge du patient.
Le secret médical des données de santé protégé par le législateur
La protection des données de santé dématérialisées est assurée d’une part par des obligations imposées aux acteurs de la prise en charge du patient et d’autre part par la reconnaissance de droits issus du secret médical.
L’article L.1110-4 du code de la santé publique consacre le droit au secret médical qui doit gouverner le traitement informatique des données de santé. Tout patient a droit au respect de sa vie privée et au secret des informations la concernant. De ce fait, tous les professionnels, les établissements de santé ainsi que les hébergeurs de données de santé et leurs sous-traitants sont soumis au secret médical et doivent en assurer le respect. Il leur est imposé de mettre en place des dispositifs de sécurité informatique (logiciel), ainsi que des mesures de protection technique conformes aux exigences en vigueur et à l’état de l’art, tel qu’exprimé notamment dans la Politique générale de sécurité de systèmes d’information de santé (PGSSI-S) à savoir :
- toutes précautions utiles en termes de mesures d’authentification personnelle des professionnels de santé (par exemple, un accès contrôlé aux serveurs, telle la carte de professionnelle de santé prévue à l’article L.161-33 du code de la sécurité sociale), et des patients (identifiant de santé des « bénéficiaire de l’assurance maladie pris en charge » ) ;
- traçabilité de l’ensemble des accès aux données personnelles de santé,
- une organisation de déploiement, de surveillance et de maintien de la sécurité de l’information dans tous ses aspects : logique (firewall, cryptage, mot de passe), physique (carte à puce…), organisationnel, etc.
La Cnil rappelle à l’ordre les centres hospitaliers
Notamment lorsqu’un prestataire bénéficie des mêmes identifiants que le médecin du département d’information médicale et a donc accès au contenu de tous les dossiers médicaux de l’établissement . Les CH sont également soumis aux conditions de sécurité et de confidentialité strictes dans le traitement des données de santé aux étapes de la collecte, de l’utilisation, communication stockage et de la destruction des données de santé .
En vertu de l’article 32 de la loi n°78-17 « informatique et liberté » , le patient a le droit d’être informé lors du recueil des données le concernant et de se faire communiquer des informations sur l’identité des auteurs du traitement ou encore sur les destinataires des données de santé. En outre, avant l’adoption de la loi du 26 janvier 2016, n° 2016-41 qui a abrogé cette disposition, le patient devait consentir au recueil de données le concernant.
Selon l’article 38 de la loi de 1978, il bénéficie également d’un droit d’opposition, pour des motifs légitimes, à ce que les données de santé le concernant fassent l’objet d’un traitement informatisé, sauf dans l’hypothèse où le traitement répond à une obligation légale ou quand cette faculté est écartée par les texte, par exemple dans l’hypothèse de traitement de maladies à déclaration obligatoire tel le Chikungunya ou le virus de l’hépatite B.
Sauf demande abusive, le patient dispose d’un droit d’accès aux informations le concernant, il peut obtenir une copie des ces données, à sa demande. Comme pour la délivrance du dossier médical papier, cette copie peut être facturée. Il peut enfin exiger la rectification ou la suppression des données qui le concernent au responsable du traitement.
La protection du secret médical ne doit cependant pas compromettre une prise en charge optimale du patient
La loi de modernisation du système de santé du 26 janvier 2016 modifie la notion de dossier médical « personnel », créée par la loi du 13 août 2004, introduisant une nécessaire souplesse exigée par l’activité quotidienne des soignants, notamment dans les conditions de l’urgence.
Le dossier médical est toujours constitué de l’ensemble des données mentionnées à l’article L.1111-8 du code de la santé publique, recueillies dans le cadre d’activités de soins, et permettant le suivi des prestations.
Il est créé auprès d’un hébergeur spécifiquement titulaire d’un agrément délivré par le ministère de la Santé, sur la base d’un processus de certification selon un référentiel à paraître.
Mais dorénavant il n’est plus personnel mais partagé.
La nouvelle rédaction du premier alinéa de l’article L. 1111-8 vient consacrer le principe d’agrément sur certification de l’hébergement des données de santé au détriment de celui du consentement préalable du patient tel que le prévoyait l’alinéa 1er in fine de l’article L.1111-8.
La nouvelle rédaction du code de la santé publique met en lumière la nécessaire information préalable du patient à la conservation des données de santé le concernant nonobstant la nature du support. Ce dernier ne dispose dorénavant que d’un droit d’opposition pour motif légitime11. Le législateur n’a pas précisé l’étendue de cette notion.
Par ailleurs, le législateur a consacré le principe du secret médical partagé par l’extension de la notion d’équipe médicale (article L.1110-12 du code de santé publique modifié). Cette notion inclut notamment tous les professionnels qui participent aux actes de soins ou à leur coordination exerçant dans le même établissement.
Le législateur a retenu une définition élargie de cette « équipe », englobant les praticiens exerçant au sein d’un même établissement, jusqu’au médecin traitant (dans son rôle de coordinateur de soins) jusqu’à un ensemble « fourre-tout » dont les contour sont renvoyés à un décret…
Inquiétudes
Ce texte ne va pas sans engendrer quelques inquiétudes, car plus la structure de prise en charge est grande, plus le secret médical est (largement) partagé.
En effet, la nouvelle rédaction de l’article L. 1111-4 du code précité prévoit qu’un professionnel de santé peut échanger avec un ou plusieurs professionnels identifiés, à la condition qu’ils participent tous à la prise en charge du malade. Sous réserve du consentement préalable du patient, les professionnels même s’ils ne font pas partie de la même équipe ont désormais la faculté d’échanger et de partager les informations qu’ils détiennent sur leur patient en commun. Par opposition, un praticien (nonobstant sa qualité) qui n’intervient pas dans la prise en charge d’une personne hospitalisée n’a pas vocation à avoir accès à ses données de santé (a fortiori en est-il de même pour les autres soignants et les agents administratifs).
Cette notion de secret médical partagé est davantage élargie avec la mise en place de la lettre de liaison dématérialisée synthétisant les informations nécessaires à la prise en charge du patient que les professionnels de santé peuvent s’adresser et déposer dans le dossier médical partagé au moyen d’une messagerie sécurisée .
Référentiel
Dans le cadre de la modernisation du système de santé, l’Asip (Agence des systèmes d’informations partagés de santé) envisage, avec le Gouvernement, de rendre opposable par arrêté ministériel certains volets du référentiel qu’elle a élaboré concernant la sécurité des systèmes d’information de santé. Cette opposabilité permettrait d’améliorer les garanties envers les citoyens si elle était rendue concrète et opérante, notamment en l’inscrivant parmi les obligations de contrôle des hébergeurs certifiés de données de santé."
Si cette réforme tend à améliorer la coordination et la qualité de la prise en charge des patients, en modernisant la notion d’équipe médicale, en fluidifiant la transmission d’information, qui passe du courrier papier à la messagerie (évidemment sécurisée…) puis au système d’information partagé, on peut s’interroger sur les risques de cyber-fuites et des risques liées à la viralité des informations au détriment du secret médical pierre angulaire du droit des patients.
2. Voir définition du projet de règlement européen; N°2012/0011, 25 janvier 2012.
3. Art. L.1111-8-1 du code de la santé publique.
4. Délibération n°2013-037, CNIL, le 25 septembre 2013.
5. Art. 8, 34 et 35 de la loi n° 78-17 informatique et liberté.
6. Disposition reprise en termes quasi identiques par l’article L1111-8 du code de la santé publique.
7. Ce consentement n’était de toute façon pas applicable aux établissements tant que les données restaient à leur seul usage. (dernier alinéa de l’art. L1111-8).
8. Art 39 II de la loi loi n° 78-17 : demandes nombreuses, répétitives ou systématiques.
9. Art. 39 et 40 de la loi n° 1978 et R. 1111-2 du code de la santé publique.
10. Contenu de l’article L.1111-8 du code de la santé publique.
11. Art. 96 I. 5° de la loi n°2016-41 du 26 janvier 2016.
12. Art. L.1110-12 du code de la santé publique
« Pour l’application du présent titre, l'équipe de soins est un ensemble de professionnels qui participent directement au profit d'un même patient à la réalisation d'un acte diagnostique, thérapeutique, de compensation du handicap, de soulagement de la douleur ou de prévention de perte d'autonomie, ou aux actions nécessaires à la coordination de plusieurs de ces actes, et qui :
1° Soit exercent dans le même établissement de santé, au sein du service de santé des armées, dans le même établissement ou service social ou médico-social mentionné au I de l'article L. 312-1 du code de l’action sociale et des familles ou dans le cadre d'une structure de coopération, d'exercice partagé ou de coordination sanitaire ou médico-sociale figurant sur une liste fixée par décret ;
2° Soit se sont vus reconnaître la qualité de membre de l'équipe de soins par le patient qui s'adresse à eux pour la réalisation des consultations et des actes prescrits par un médecin auquel il a confié sa prise en charge ;
3° Soit exercent dans un ensemble, comprenant au moins un professionnel de santé, présentant une organisation formalisée et des pratiques conformes à un cahier des charges fixé par un arrêté du ministre chargé de la santé. »
13. Art. 96 II et III de la loi n°2016-41 du 26 janvier 2016.
14. Art. 95 II 2° de la loi n°2016-41 du 26 janvier 2016 et l’art. L. 1111-12 du code de la santé publique.
15. http://esante.gouv.fr/sites/default/files/asset/document/pgssis_2015-05…
16. http://esante.gouv.fr/le-mag-numero-10/la-politique-generale-de-securit…
Pause exceptionnelle de votre newsletter
En cuisine avec le Dr Dominique Dupagne
[VIDÉO] Recette d'été : la chakchouka
Florie Sullerot, présidente de l’Isnar-IMG : « Il y a encore beaucoup de zones de flou dans cette maquette de médecine générale »
Covid : un autre virus et la génétique pourraient expliquer des différences immunitaires, selon une étude publiée dans Nature