Dans cette affaire (CJUE - C 307/22), qui débute en Allemagne, un patient souhaite engager la responsabilité de son dentiste.
Dans la perspective de ce contentieux, il demande une copie de son dossier médical.
En réponse, le dentiste lui impose le paiement des frais de fourniture de la copie du dossier médical. Le professionnel de santé soutenait que le droit allemand l’autorise à solliciter le paiement de ces frais.
Le patient conteste l’obligation de paiement des frais. Il estime qu’au regard du Règlement général sur la protection des données (« RGPD »), son dossier médical – constitué de ses données personnelles - doit lui être communiqué gratuitement.
En première instance comme en appel, le patient obtient gain de cause : les juges font droit à sa demande d’accès à son dossier médical gratuitement.
La Cour fédérale de justice allemande « Bundesgerichtshof », saisie d’un recours en révision, décide d’interroger la Cour de Justice de l’Union Européenne pour apprécier la comptabilité du droit allemand (qui permet aux médecins de facturer la copie du dossier médical) avec le RGPD.
À l’occasion de cette affaire, la Cour de justice a rappelé plusieurs règles :
- Le RGPD (Article 12, paragraphe 1) accorde à chaque personne le droit d’obtenir une reproduction fidèle de ses données personnelles.
- La copie de ces données doit être communiquée gratuitement (article 12, paragraphe 5 du RGPD).
- Des frais raisonnables ne peuvent être sollicités que si les demandes sont infondées ou excessives, notamment en raison du caractère répétitif ([article 12, paragraphe 5 du RGPD).
- La personne n’a pas à motiver sa demande d’accès à ses données personnelles.
- Aucun État membre de l’UE ne peut adopter une législation qui, pour protéger les intérêts économiques d’un responsable du traitement, autorise une facturation de l’accès aux données personnelles.
- Dans les relations médecin/patient, le droit d’obtenir une copie des données personnelles implique une remise d’une reproduction fidèle et intelligible de l’ensemble de ces données. Ce droit suppose de remettre une copie intégrale des documents figurant dans son dossier médical si cela est nécessaire pour permettre à cette personne de vérifier l’exactitude et l’exhaustivité de ses données ainsi que pour garantir leur intelligibilité.
- Le droit d’accès aux données personnelles concerne « les données des dossiers médicaux contenant des informations telles que des diagnostics, des résultats d’examens, des avis de médecins traitants et tout traitement ou intervention administrés » (RGPD, préambule, considérant 63).
- Ces documents peuvent contenir de nombreuses données techniques. Il existe un risque d’omission ou de reproduction incorrecte des données si le médecin ne communique qu’un résumé ou une compilation des données sous forme synthétique. Cela peut également rendre difficile la vérification de l’exactitude et de l’exhaustivité des données. La communication du dossier médical doit donc être complète.
Si l’affaire concerne un patient et un professionnel de santé allemands, ces règles s’appliquent également en France.
Ainsi, l’article R1111-2 du Code de la santé publique qui prévoit des « frais de délivrance de ces copies » n’apparait pas conforme au RGPD et ne peut plus être opposé à un patient.
L’article L1111-7 du Code de la santé publique précise que :
« La consultation sur place des informations est gratuite ».
De même, ce texte apparait comme non conforme au RGPD. La gratuité de l’accès aux données personnelles ne peut être limitée aux seules consultations sur place.
Les termes de l’article R1111-1 dudit Code peuvent aussi être considérés comme non conformes aux exigences du RGPD.
Cet article précise en effet :
« Avant toute communication, le destinataire de la demande s’assure de l’identité du demandeur ».
L’administration précise par ailleurs que : « Votre identité est vérifiée notamment grâce à une carte d’identité ou un passeport ».
Or, selon l’article 12 du RGPD, le responsable de traitement ne peut demander un justificatif de l’identité du demandeur que s’il existe un doute sur cette identité :
« lorsque le responsable du traitement a des doutes raisonnables quant à l’identité de la personne physique présentant la demande visée aux articles 15 à 21, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée ».
Ainsi, alors que la lecture combinée de l’article R1111-1 dudit Code et de la publication de l’administration semble permettre une vérification presque automatique de l’identité du demandeur, le RGPD n’autorise une telle vérification que s’il existe des doutes raisonnables quant à l’identité du demandeur.
La CNIL précise sur ce point : « Si et seulement si, l’organisme a des doutes raisonnables sur votre identité, il peut vous demander de joindre tout document permettant de prouver votre identité, par exemple pour éviter les usurpations d’identité ».
Enfin, les modalités de communication des données des patients pourraient également se trouver impactées. Le Code de la santé publique (article R1111-2) précise que la communication s’effectue par voie électronique uniquement « si les dispositifs techniques de l’établissement le permettent » et ajoute « Les copies sont établies sur un support analogue à celui utilisé par le professionnel de santé ou l’établissement de santé, ou sur papier, au choix du demandeur et dans la limite des possibilités techniques du professionnel ou de l’organisme concerné ».
Ces règles subordonnent les modalités de communication des données aux possibilités techniques des professionnels de santé.
Or, le RGPD [article 12] pose un postulat différent.
Le professionnel de santé, lorsqu’il est responsable de traitement, doit « prendre des mesures appropriées pour fournir toute information […] d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ».
Sous ce prisme, les modalités de communication des données personnelles du patient sont dictées par des exigences de lisibilité et d’accessibilité par le patient et non par les limites techniques du professionnel de santé.
Cet arrêt devrait susciter une adaptation du Code de la santé publique en France.
Néanmoins, et sans attendre une telle modification, il est important de tenir compte de cet arrêt dans le cadre de politique de protection des données personnelles des patients et, plus particulièrement, en cas de demande d’accès, par un patient, aux données contenues dans son dossier médical.
Discussions en cours :
Merci pour votre analyse.
Vous affirmez : « Cet arrêt devrait susciter une adaptation du Code de la santé publique en France. » Votre analyse montre en effet que le droit français est dans la même situation que le droit allemand. Cependant, on peut se demander si le législateur sera moteur de cette évolution, ou si nous devrons attendre qu’un cas particulier soit porté devant la justice française. Selon vous, comment cela va-t-il se faire ?
Vous affirmez : « Sans attendre une telle modification, il est important de tenir compte de cet arrêt dans le cadre de politique de protection des données personnelles des patients et, plus particulièrement, en cas de demande d’accès, par un patient, aux données contenues dans son dossier médical. » Quel serait l’intérêt d’un établissement de santé à suivre vos conseils ? Se réfugier derrière une loi bientôt obsolète semble plus confortable ?
Est-il justifié que lorsque le patient demande le compte rendu de la (ou des) consultations passées auprès du corps médical d’un hôpital, celui-ci exige le paiement de ces documents. Malgré mes rappels que le dossier médical est la propriété du patient l’hôpital persiste à me demander le paiement, arguant que j’ai demandé des copies de ces C.R alors que j’ai demandé le CR de la consultation. J’ai reçu l’original de ces CR, puis l’hôpital m’a fait parvenir d’autres exemplaires de ces CR et exige le paiement prétextant que j’ai demandé des copies. Faux !