A l’heure du développement massif des NTIC, quelle responsabilité des acteurs relativement au partage de l’information, et à la protection des données personnelles du patient ? Pour les professionnels de santé, l’exploitation des données via les outils numériques apparaît comme un levier de transformation majeur. Visant la protection renfoncée des données sensibles, la réforme du système de santé « Ma Santé 2022, un engagement collectif » entend « recourir au numérique » pour mieux soigner.

Le projet « Ma Santé 2022, un engagement collectif », déploie de nombreuses mesures : le numérique doit offrir de multiples services visant à faciliter l’exercice des professionnels et renforcer la coordination entre différents acteurs, notamment par le renforcement de la télémédecine. Outre, le développement des outils numériques pour une protection renforcée des données.

Au fond, cette « révolution » vise, entre autres, à apporter de nouveaux moyens aux citoyens pour être acteurs de leur santé, au travers la création pour chaque Français, d’ici le 1er janvier 2022, d’un espace numérique de santé. Dispositif où seront référencés le dossier médical partagé, une messagerie sécurisée etc…

Or, la mise en place de cette future plateforme de santé - « Health data hub » - tendant à moderniser l’exploitation des données, est assujettie à haut niveau de sécurité et de confidentialité des données personnelles.

L’enjeu est de taille. En ce sens que la protection des données médicales et la vie privée soulève moult difficultés. Etant rappelé que les données sensibles sont soumises à une protection renforcée et leur exploitation contrôlée.

Protection des données personnelles sensibles.

La loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés définit une donnée à caractère personnel comme toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement par référence à un numéro d’identification ou à un ou plusieurs numéros qui lui sont propres [1]. Concrètement, il peut s’agir d’un nom, d’une adresse postale ou électronique, d’une photo etc.
Ces données, au regard de leur caractère sensible, bénéficient, dans leur traitement, d’une protection juridique accrue. Avoir la totale la latitude de disposer de celle-ci procède d’un droit fondamental.

Ainsi, ladite loi informatique et libertés, réaménagée par la transposition de la directive 95/46/CE sur la protection des données personnelles, est à l’origine de la création de la Commission nationale de l’informatique et des libertés (CNIL), gardienne de la protection des données personnelles ainsi que leur traitement. Loi modifiée consécutivement. Protection qui a été renforcée avec l’entrée en vigueur dans l’ensemble des pays de l’UE, le 25 mai 2018, du règlement général sur la protection des données (RGPD).

Sur ce fondement, toute personne est en droit de demander des informations sur le traitement de leurs données, d’obtenir l’accès à ces dernières, d’en demander la correction, de s’opposer à leur utilisation à des fins de prospection ou de requérir la limitation de leur traitement dans des cas précis.

A cet égard, les organismes privés et publics sont soumis à des prescriptions quant au traitement de ces données. Ils doivent protéger les données et procéder au recensement des traitements réalisés. Concrètement, cette obligation se traduit par l’impérieux devoir de s’assurer de l’exactitude, la sécurité et la confidentialité de ces données et d’en proportionner la collecte au regard des finalités. De même, s’y ajoute une obligation de transparence : informer les usagers /clients de leur détention de données personnelles. Au préalable, l’accord de la personne est requis aux fins de l’exploitation de ses données.

En clair, les données à caractère personnel concernant la santé sont définies comme étant « les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique qui révèlent des informations sur l’état de santé de cette personne » [2]. Flexible, cette acception peut comprendre les informations concernant une maladie, une personne physique ou encore des résultats obtenus lors d’un test ou examen.

Par leur importance et leur nature, les données de santé sont considérées par le RGPD comme des données sensibles [3]. Dans son article 9, le principe est l’interdiction du traitement de ces données :

« Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits ».

Ce principe général est atténué par quelques exceptions.

En effet, le traitement de ces données est recevable si et seulement si la personne concernée a donné son consentement explicite, en ayant connaissance des objectifs de ce traitement. De plus, le RGPD prévoit des exceptions en l’absence de consentement préalable dans l’hypothèse où ce traitement est réalisé pour atteindre certaines finalités comme des motifs d’intérêt public importants, ainsi que la gestion des systèmes de service de santé. Il est aussi autorisé quand la dérogation s’avère nécessaire à la préservation des intérêts vitaux de la personne concernée ou l’appréciation médicale (médecine préventive, soins etc.).

Néanmoins, les dispositions du RGPD relative à la santé, révèle l’importance et les enjeux autour de ces données qui peuvent être utilisées à des fins commerciales ou impacter de manière certaine la vie privée. Au fond, le principe de confidentialité cristallise les réformes successives.

Du dossier médical partagé à l’espace santé.

Propulsée par la révolution numérique, le dossier médical partagé constitue un projet public lancé par le ministère de la Santé (Loi du 13 août 2004 relative à l’assurance maladie) [4].

L’objectif étant que chaque français dispose d’un dossier patient informatisé, qui reprend toutes les informations médicales du patient. (Ex : les résultats d’analyse, les antécédents et allergies etc.). Précisément, faciliter l’information et la coopération entre les professionnels de santé, mettant à disposition et mutualisant les informations médicales, avec l’accord préalable du patient. Fournir, in fine, aux médecins une base de données qui permet d’éviter les redondances inutiles d’examens ou de prescriptions. De telle sorte que les traitements soient rationalisés. Il est permis de relever que les récentes réformes ont largement privilégié les informations automatisées, dans le cadre de la maitrise des dépenses de santé des patients.

En vertu du socle du secret médical et du principe de confidentialité, chaque personne est libre de créer ou non ce dossier ; et de le fermer directement en ligne. De plus, les personnes y ayant légitimement accès sont des professionnels de santé auxquels le patient a autorisé l’accès en amont. Exception faite de l’urgence où la santé du patient est en danger, où le SAMU, ou le professionnel de santé, peuvent avoir accès au DMP sans autorisation. En somme, le DMP a été conçu comme « le dossier » du patient qui en maîtrise et le contenu et les accès.

L’exploitation du DMP soulève une autre problématique. Quid du rôle et responsabilité des hébergeurs ? Un hébergeur est défini comme un organisme qui assure la conservation des données dans des serveurs informatiques sécurisées. Il prend toute mesure de nature à permettre la restitution des données. En l’espèce, l’hébergement des données de santé à caractère personnel est assujetti à un agrément du Ministère en charge de la santé. C’est la loi du 4 mai 2002 relative aux droits des malades [5] qui a instauré la procédure d’agrément des hébergeurs de données de santé.

De plus, au titre de la règle posée par l’article L1110-4 du Code de la santé publique, la législation entend préserver strictement la vie privée des patients. Dès lors, le consentement du patient à la collecte, la transmission des données est primordiale.

L’article L1111-8 du Code de la santé publique impose que l’hébergeur se conforme en tout point avec la loi du 6 janvier 1978. La transmission des données médicales du professionnel de santé vers l’hébergeur repose sur un contrat qui doit spécifier que la transmission, l’hébergement et l’accès sont subordonnés à l’accord de la personne concernée [6]. Toute violation de ces dispositions expose l’hébergeur à des peines pénales comme la violation du secret professionnel punie d’un an d’emprisonnement et de 15 000 euros d’amende [7].

De plus, un contrôle est exercé par la CNIL quant à la sécurité de ces données et la protection mise en place par les hébergeurs. Ainsi, par un communiqué [8], la CNIL a adressé un avertissement à un hébergeur qui n’avait pas chiffré les données médicales et qui étaient donc accessibles aux administrateurs informatiques de la société et non pas exclusivement au personnel de santé habilité. Le non-chiffrage était, donc, illicite.

A l’issue du contrat d’hébergement, les données transmises doivent être restituées soit au patient ou au professionnel de santé.

Par ailleurs, la protection des données sensibles ressurgit avec l’entrée en vigueur du nouveau service « Mon espace santé » qui sera disponible dès le début d’année 2022. Depuis le 1er juillet 2021, il n’est ainsi plus possible de créer de nouveaux DMP. Prévue dans la loi Buzyn de 2019 [9], cette plateforme vise à facilite le stockage et ces données. Considéré comme successeur au DMP, cet espace numérique doit permettre à tous les Français de stocker et partager leurs informations médicales. Actuellement en expérimentation depuis début juillet auprès de 4 millions d’usagers dans trois départements métropolitains (Haute- Garonne, la Somme et la Loire-Atlantique), l’espace santé suit le fonctionnement de l’ancien DMP et est consultable pour chaque personne bénéficiant d’un régime de sécurité sociale. Ainsi, elle contient une version améliorée du DMP mais aussi une messagerie sécurisée de santé, un agenda et un catalogue de services numériques de la santé.

Cet espace, comme le DMP, ne sera pas obligatoire ; créée automatiquement pour chaque Français sauf opposition expresse de leur part.

Sur un autre registre, la question de la protection de ces données sensibles refait surface avec la mise en œuvre de cette plateforme. Et pour cause, nonobstant les différentes mesures de protection et du respect de la confidentialité, la centralisation des informations sensibles de santé présente certains risques. Des défaillances sont potentielles et l’actualité récente confirme la fragilité des systèmes informatiques.

Ces lacunes ont conduit à des cyberattaques en 2011 ou encore le piratage des systèmes informatiques des hôpitaux [10]. Sur ce point « les hôpitaux et les autres entités du secteur de la santé représentent globalement l’une des cibles privilégiées des attaquants », pointe un rapport de l’Agence nationale de la sécurité des systèmes d’information [11].

De surcroît, le choix de l’hébergeur pour ce nouvel espace de santé n’est pas anodin. Ainsi, début 2019, le géant Microsoft avait été choisi discrètement pour héberger la plateforme [12]. Or, la législation américaine par le « Cloud Act », oblige dans certains cas, les hébergeurs américains à fournir des données aux autorités même si elles sont hébergées à l’étranger. Ce choix a été contesté par beaucoup d’experts et de professionnels qui jugent dangereux de confier ces données à Microsoft. De plus, la CNIL s’est prononcée contre ce choix et demandait « d’évaluer en urgence l’existence de fournisseurs alternatifs » [13], dans le but d’aboutir à un hébergement souverain de ces données sensibles. Depuis, la recherche d’une plateforme alternative, française ou européenne, pour transférer les données du Health data hub, apparaît être privilégiée.

Quid de la responsabilité du médecin quant à l’exploitation et l’usage de ces données ? En particulier quand celles-ci, s’en trouvent divulguées, sans l’accord du patient.

Responsabilité du médecin dans l’exploitation et sauvegarde des données.

Acteurs de premier plan en matière de la data, les médecins sont particulièrement concernés par l’application du RGPD. Leurs obligations, nombreuses, sont assorties de responsabilité renforcée. En cela, l’Ordre des médecins, conjointement avec la CNIL, a élaboré, un guide pratique [14] constitué de six fiches pratiques thématiques.

Par ailleurs, les médecins doivent s’assurer que l’usage des dossiers « patients » respecte les principes fondamentaux de la protection des données personnelles [15]. Désormais, sur ce fondement, la CNIL [16] ainsi que les chambres disciplinaires de l’ordre des médecins [17] peuvent sanctionner les médecins qui contreviennent aux prescriptions du RGPD et du Code de la santé publique.

Pour rappel, le médecin a l’obligation de sécuriser les données personnelles qu’il traite dans le cadre de sa pratique. Tout manquement expose ce professionnel à de lourdes sanctions pécuniaires. Ainsi, la CNIL, dans sa formation restreinte, a prononcé deux amendes [18] de 3 000 et 6 000 euros, à l’encontre de deux médecins libéraux, pour avoir insuffisamment protégé les données personnelles de leurs patients. Qui plus est, certaines de ces données étaient librement accessibles sur Internet. Sur le fond, la CNIL a retenu un manquement à l’obligation de sécurité des données, au titre de l’article 32 du RGPD. La vigilance doit donc être de mise pour les professionnels de santé.

De plus, au titre de l’article 33 du RGPD, le médecin informé d’une violation de données dont il assure le traitement, doit informer la CNIL dans un bref délai. L’absence de diligence du médecin est susceptible d’engager sa responsabilité.

En outre, le médecin à l’origine de la divulgation de ces données, peut s’exposer à des sanctions disciplinaires voir pénales. A ce propos, l’article 226-16 du Code pénal prévoit que :

« Le fait, y compris par négligence de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ».

Pour finir, d’une part, la violation de données, à la suite de l’absence au recours d’un hébergeur certifié, pour conserver les données de santé, peut être regardé comme un manquement au respect des formalités prévues par la loi, susceptible d’engager la responsabilité pénale du médecin. D’autre part, à l’aune de l’interconnexion et de la rapidité de transfert d’informations, l’utilisation des données de santé s’avère être une nécessité pour les soins, tendant à améliorer la prévention ou le traitement thérapeutique.

Me. Kebir Avocat à la Cour - Barreau de Paris Médiateur agréé, certifié CNMA Timothée Delobel, juriste stagiaire Cabinet Kebir Avocat E-mail: [->contact@kebir-avocat-paris.fr] Site internet: www.kebir-avocat-paris.fr LinkedIn : www.linkedin.com/in/maître-kebir-7a28a9207

Comentaires:

• 
  les recours, Christal, 1er février 2022

  Monsieur,

  excellent article !

  Seul l’assuré principal peut s’opposer à l’activation d’un espace santé/dossier médical partagé sur "monespacesanté". Pour les enfants ( à charge, sur carte vitale du parent) cela reste impossible car les enfants n’ont pas de carte vitale et donc sans carte vitale, ils n’ont pas de nr. de série ( à coté de la photo), le précieux sésame pour s’opposer à l’activation du dossier médical partagé ! la désactivation doit se faire pour chaque membre de la famille. C’était pour simplifier les démarches administratives des usagers sans doute !

  Je m’étonne que le site "monespacedesante" en dehors du 3422 ne propose pas d’adresse postale pour une opposition classique en recommandé, cela n’est il pas une obligation légale des administrations ?

  Un grand merci à vous