En France, c’est la Commission nationale de l’Informatique et des libertés (Cnil), autorité administrative indépendante, qui est chargée par la loi de veiller à l’application du RGPD (loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles). Ainsi qu’elle le rappelle, « le secteur de la santé est d’autant plus impacté par ce texte que les données de santé bénéficient d’un régime de protection renforcée car elles sont considérées comme des données sensibles ». Il est en effet interdit de recueillir et d’utiliser une donnée sensible, c’est-à-dire une information qui révèle les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle d’une personne physique, sauf dans certains cas précis, notamment :
– si la personne concernée a donné son consentement exprès (écrit, clair et explicite) ;
– si ces données sont nécessaires dans un but médical ou pour la recherche dans le domaine de la santé ;
– si leur utilisation est justifiée par l’intérêt public et autorisée par la Cnil ;
– si elles concernent les membres ou adhérents d’une association ou d’une organisation politique, religieuse, philosophique, politique ou syndicale.
En pratique, il peut s’agir de données d’identification comme les nom, prénom, adresse, ou numéro de téléphone, d’informations sur la vie personnelle du patient (par exemple : nombre d’enfants), sa couverture sociale (par exemple : assurance maladie obligatoire, assurance maladie complémentaire, etc.) et surtout d’informations relatives à sa santé (pathologie, diagnostic, prescriptions, soins, etc.), les éventuels professionnels qui interviennent dans sa prise en charge. Les chirurgiens-dentistes détiennent également, dans le cadre de leur exercice, le numéro de Sécurité sociale des patients pour facturer les actes réalisés.
Un cadre commun à des activités et professions hétérogènes…
Le RGPD s’applique au traitement, automatisé ou non, des données à caractère personnel, réalisées sur support informatique mais également sur support papier.
Certaines des dispositions prévues, destinées à sécuriser le plus possible les flux d’information médicale, sont évidemment très utiles, notamment tout ce qui concerne la prise de rendez-vous par une plateforme en ligne ou par un prestataire de permanence téléphonique, l’utilisation de la messagerie électronique, des téléphones portables ou des tablettes ainsi que les modalités relatives à l’échange et au partage des données entre professionnels ; il ne faut en effet pas négliger le fait que la cybercriminalité se développe et que le piratage de dossiers médicaux n’est pas exclu, dans un but de chantage ou de rançon notamment.
Quid des dossiers médicaux ?
L’information doit comporter impérativement les éléments suivants :
– nom et coordonnées du praticien ;
– finalités et base juridique du traitement (par exemple : prévention, diagnostic et suivi des soins et travaux, télétransmission), y compris les finalités ultérieures ;
– destinataires des données (le patient, la CPAM…) ;
– durée de conservation des données (par exemple, vingt pour les données de santé) ;
– description des mesures de sécurité mises en place par le praticien.
Elle doit rappeler les droits des patients qui peuvent :
– accéder aux données les concernant ;
– rectifier ces données en cas d’erreur ;
– s’opposer au traitement pour des raisons tenant à leur situation particulière ;
– effacer les données, dans certaines situations particulières (dossier patient conservé trop longtemps, données non adéquates, par exemple) ;
Chaque demande portant sur ces droits doit être examinée dans un délai raisonnable. Dans le cas d’une demande d’accès au dossier « patient », le délai est obligatoirement de huit jours, porté à deux mois lorsque les informations datent de plus de cinq ans.
Parallèlement, le chirurgien-dentiste ou le médecin doit respecter les « bonnes pratiques » suivantes :
– limiter les informations collectées au nécessaire (puisqu’il est interdit de recueillir des données de santé sauf si ces données sont nécessaires dans un but médical), utiliser les dossiers patients conformément aux finalités définies ;
– tenir un registre à jour de ses « traitements de données » (forme écrite autorisant le format électronique ; la Cnil en propose un modèle en téléchargement et le Conseil National de l’Ordre des Chirurgiens-dentistes travaille sur l’adaptation spécifique de ce modèle à la profession dentaire) ;
– supprimer des dossiers patients et, de manière générale, toute information ayant dépassé la durée de conservation préconisée ;
– mettre en place les mesures appropriées de sécurité des dossiers patients ;
Le patient sait aussi qu’il peut avoir accès à tout moment à son dossier médical par le biais des articles L. 1111-7 et R. 1111-1 à R. 1111-8 du Code de la santé publique (loi du 4 mars 2002).
Devoir expliquer au patient pourquoi on constitue un dossier sur lui, pendant combien de temps il sera détenu (à supposer qu’on puisse le prévoir) et quelles précautions seront prises pour ne pas se le faire voler ou pirater, peut susciter de l’inquiétude chez le patient, voire de la défiance, et provoquer des contestations artificielles…
Conclusion pessimiste
Cette nouvelle réglementation aboutit à affaiblir le secret professionnel car, en quelque sorte, elle se substitue à lui comme si cette règle ancestrale et fondamentale, pierre angulaire de la confiance que le patient fait à son praticien, était devenue obsolète et insuffisante pour protéger la vie privée du patient.
De fait, respecter scrupuleusement le secret professionnel sans respecter le RGPD peut désormais entraîner des sanctions financières (amendes administratives infligées par la Cnil sous le contrôle du Conseil d’État).
Comment s’étonner alors que la perspective de si nombreuses contraintes détourne les jeunes médecins ou les jeunes chirurgiens-dentistes de l’exercice libéral ?
Commentaires