Le dossier médical informatisé : la délicate protection des données personnelles
Publié le 15/03/2005 par Thibault Verbiest, Etienne Wery
La mouvance actuelle vers une numérisation des données médicales nous fait entrer dans une nouvelle ère de possibilités au niveau de la gestion de la santé d’un patient. Les services proposés à l’heure actuelle sont multiples. Plusieurs pays travaillent sur des projets de consultation du dossier médical du patient par celui-ci, via Internet, à l’aide…
La mouvance actuelle vers une numérisation des données médicales nous fait entrer dans une nouvelle ère de possibilités au niveau de la gestion de la santé d’un patient. Les services proposés à l’heure actuelle sont multiples. Plusieurs pays travaillent sur des projets de consultation du dossier médical du patient par celui-ci, via Internet, à l’aide d’un code secret afin que l’accès soit possible à partir n’importe quel endroit de la planète. On retrouve également, dans certaines régions européennes, la possibilité pour les généralistes de consulter le dossier d’un patient hospitalisé via Internet. De même, il existe des projets régionaux d’interconnexion d’hôpitaux d’une même région. En Belgique, le serveur S3 propose la gestion centralisée dans un même dossier des contacts et documents médicaux d’un patient. Il existe également le projet de dossier médical d’urgence, consultable par les urgentistes.
Les enjeux de cette entrée du secteur médical dans le monde numérique sont nombreux. Il y a d’abord une importante préoccupation au niveau de la fiabilité technique de ces nouveaux systèmes. Par ailleurs, le fait que de multiples intervenants, dont le patient lui-même, soient amenés à participer à la gestion du dossier suscite de vives inquiétudes dans le chef du corps médical. Comment identifier avec un degré de certitude suffisamment élevé les personnes qui consultent les documents du dossier ? Comment sécuriser les données et assurer leur intégrité ? Quels sont les droits des patients à l’égard de cette semi intrusion dans leurs données privées et hautement sensibles ? Comment s’assurer de la contribution au système de tous les intervenants nécessaires du monde médical ?
Nous allons, dans le cadre de cette étude, nous concentrer sur les enjeux liés à la protection de la vie privée des patients.
un cadre normatif complexe
L’encadrement juridique nécessaire à la mise en œuvre du dossier médical informatisé suppose la prise en considération de deux corps de règles : il faut en effet combiner les règles relatives à la protection des données à caractère personnel (issues de la Directive européenne 95/46) et les règles de droit médical pur, telles celles relatives au secret médical (article 458 du Code Pénal). Ces deux corps de règles n’ont pas le même champ d’application. En effet, la législation relative à la protection de la vie privée s’applique à toutes les données à caractère personnel, c’est-à-dire à toutes données liées à une personne identifiée ou identifiable. Elle accorde une protection accrue aux données médicales car les considère comme particulièrement sensibles. Le secret médical, quant à lui, couvre toutes les confidences du patient à son médecin. Il comprend notamment toutes les notes, les pensées, les constations et examens réalisés par le praticien. Le secret médical a donc un champ d’application beaucoup plus large que la législation relative à la vie privée.
La législation relative à la vie privée instaure un principe de transparence et de proportionnalité à l’égard des différents traitements qu’il est possible d’opérer sur les données dites « à caractère personnel ». La gamme des traitements couverts par la loi est large : cela va de la collecte des données jusqu’à l’archivage ou la destruction de celles-ci, en passant par leur enregistrement, modification ou adaptation. Toute opération effectuée sur les données d’un patient est concernée, que ce soit d’ailleurs à l’aide de procédés automatisés ou non.
A noter que la législation relative à la vie privée prévoit un régime spécifique pour les données médicales. Le traitement de celles-ci est interdit, à moins que l’on se trouve dans une des trois hypothèses suivantes :
―La personne concernée, à savoir le patient, a donné son consentement par écrit.
―Le traitement est nécessaire à la défense des intérêts vitaux de la personne concernée dans le cas où la personne concernée se trouverait dans l’incapacité physique de donner son consentement.
―Le traitement est nécessaire dans le cadre thérapeutique : fins de médecine préventive, diagnostics médicaux, administration de soins ou de traitements, gestion de services de santé agissant dans l’intérêt de la personne concernée. Dans ces cas, le traitement doit être effectué sous la surveillance d’un professionnel des soins de santé.
Qui est le respponsable du traitement ?
La législation vie privée fait reposer sur les épaules du responsable du traitement une série d’obligations. Il est dès lors important d’identifier d’emblée ce responsable. Il s’agit en principe de la personne qui détermine les finalités du traitement des données. Hors de l’ère numérique, cela ne posait guère de problème : il s’agissait bien évidemment du médecin traitant. Dans le cadre de la gestion centralisée des données d’un patient, cela devient plus problématique, particulièrement lorsque celui-ci est hospitalisé. Doit-on considérer que le responsable de la détermination des finalités du traitement est le médecin chef de l’hôpital, le directeur de celui-ci, les intervenants techniques, le médecin traitant, le gestionnaire du réseau ? Quoi qu’il en soit, sachant que plusieurs thèses s’opposent sur cette question, il faudra trancher car le nom du responsable devra être indiqué dans la déclaration de traitement qui doit impérativement être faite auprès de la Commission de la protection de la vie privée.
les obligations du responsable du traitement
Le responsable du traitement est tenu de déclarer celui-ci auprès de la commission nationale de protection de la vie privée.
Dans le cadre de la finalité du traitement, à savoir la finalité thérapeutique dans le cas du dossier médical informatisé, le responsable du traitement doit assurer un certain niveau de qualité des données. Celles-ci doivent être adéquates, pertinentes et non excessives. Elles doivent être exactes et, tant que faire se peut, mises à jour, même si l’on conçoit aisément que le praticien n’a pas pour obligation de convoquer d’initiative son patient aux fins de mise à jour. De manière générale, le praticien a une responsabilité particulière par rapport à l’encodage des données. En effet, dans la mesure où le dossier médical est amené à être consulté par plusieurs intervenants, il est crucial que les données soient correctes. Il doit à cet égard, suivant les termes de la loi, prendre les mesures organisationnelles qui s’imposent pour que chaque intervenant « encodeur » respecte des consignes préalablement établies.
En ce qui concerne la durée de conservation des données médicales intégrées dans le dossier informatisé, il faut combiner les obligations imposées par la législation vie privée à celles définies par la déontologie. D’après la législation vie privée, il faut conserver les données pour une période n’excédant pas celle nécessaire à la réalisation de la finalité. Dans le cadre de fins thérapeutiques, cela veut-il dire qu’il faille effacer les données à la fin du traitement d’une pathologie ou à la fin de la vie du patient ? En ce qui concerne le dossier informatisé, la seconde hypothèse semble plus plausible, même si elle met en lumière l’inévitable question de la pérennité des données numérisées par rapport aux bonnes vieilles archives papiers. En tout état de cause, la déontologie impose une conservation de données médicales pour une période de trente ans qui démarre après le dernier contact avec le patient.
Le responsable du traitement doit prendre les mesures techniques et organisationnelles requises pour protéger les données contre leur destruction accidentelle ou non autorisée, contre leur perte accidentelle ou leur modification. Il se doit, par ailleurs, de sécuriser l’accès aux données et de garantie leur intégrité par rapport à d’autres éventuels traitements non autorisés.
Les mesures techniques et organisationnelles doivent assurer un niveau de protection adéquat compte tenu de l’état de la technique en la matière, des frais qu’entraîne l’application de ces mesures, de la nature des données à protéger et des risques potentiels. Cela implique concrètement de prendre en compte la compatibilité de systèmes, des protocoles et des architectures relatifs à ces nouveaux services. Il faut également mettre en œuvre des systèmes efficaces d’identification des utilisateurs et intervenants. Il faut en effet définir, au préalable, les personnes et les institutions qui peuvent avoir accès aux données. Dans une certaine mesure, il est nécessaire de graduer les données et déterminer celles qui sont accessibles et par qui elles sont accessibles. A cet égard, le responsable du traitement est également tenu de séparer les données médicales des autres données administratives et comptables. Cette obligation relative à la gestion de l’accès doit avoir son pendant technique.
D’un point de vue purement technique, l’accès doit être possible en cas d’urgence. On pense plus spécifiquement aux éventuelles défaillances du système qui pourraient s’avérer particulièrement dramatiques sachant que le temps est un facteur clé pour sauver une vie humaine. De même, les systèmes de gestion du dossier médical informatisé doivent être équipés de détecteurs de virus ultra sophistiqués, qui correspondent à ce qui se fait de mieux sur la place informatique. Au surplus, le responsable du traitement devra assurer des sauvegardes automatiques des données pour assurer leur pérennité.
Les droits du patient
La législation prévoit un droit à l’information spécifique à l’attention du patient. Celui-ci doit être mis au courant de l’existence d’un traitement à partir de ses données médicales. Dans cet ordre d’idée, il doit bénéficier d’une information claire et précise relative au responsable du traitement (nom et adresse). Ce dernier doit préciser les finalités thérapeutiques du traitement et doit avertir le patient de l’existence du droit de s’opposer sur demande et gratuitement à ce traitement. Le patient a notamment le droit de s’opposer à tout moment à la communication de ses données d’un praticien à l’autre. Au surplus, le responsable du traitement doit impérativement mentionner la base légale ou réglementaire autorisant le traitement des données. Parallèlement, les catégories de données traitées doivent être identifiées.
L’information dont bénéficie le patient doit lui être fournie au plus tard au moment de la collecte des données, c’est-à-dire lors de sa première visite médicale. Si le médecin en charge du dossier n’a pas vu le patient, soit parce que celui-ci est passé par les urgences ou par un spécialiste, il faut en principe informer celui-ci au moment de l’enregistrement des données. Si le patient n’est pas « informable » car il souffre d’une pathologie qui provoque une diminution de son état général (coma, état mental modifié) le responsable du traitement devra informer le représentant du patient.
Le patient bénéficie d’un double droit d’accès aux données traitées dans le dossier médical virtuel. En vertu de la législation relative aux droits du patient, celui-ci a le droit de consulter lui-même son dossier médical, dans les quinze jours de sa demande, et d’obtenir au prix coûtant une copie de son dossier. Il n’a, par contre, pas droit de prendre connaissance des annotations du médecin.
Le patient a un droit d’accès direct ou indirect, à savoir via un intermédiaire professionnel de la santé, aux données traitées dans le cadre de la prise en charge de sa santé. Le passage par un intermédiaire se fera soit à la demande du patient soit à la demande du responsable du traitement.
Le patient bénéficie, dans le cadre de la législation relative à la vie privée, d’un droit de s’opposer au traitement de ses données, à savoir de s’opposer à la constitution du dossier informatisé ou à la communication de ses données à des tiers. Il faut toutefois savoir que la déontologie prévoit une obligation dans le chef des médecins de constituer un dossier afin d’assurer la qualité des soins. De même la législation relative aux droits du patient insiste sur l’importance de la tenue du dossier médical par le praticien. Ce droit d’opposition se heurte donc au droit médical pur.
La législation relative à la vie privée réserve au patient un droit de rectification des données inexactes qui le concernent. Il est bien évident que le patient n’a pas le droit de faire les changements lui-même. Il doit s’adresser au responsable du traitement qui, par ailleurs, n’est peut-être pas son médecin traitant. Dans la pratique, ce droit de rectification n’a de sens que par rapport à des données objectives, telles le nom, l’adresse, les résultats d’analyses, etc. On conçoit aisément que le patient ne peut pas intervenir sur des données purement subjectives, telles le diagnostic ou les notes personnelles du médecin.
Enfin, les patients ont également le droit d’obtenir sans frais la suppression ou l’interdiction d’utilisation de leurs données à caractère personnel qui, compte tenu du but du traitement, sont incomplètes ou non pertinentes.
Remarques conclusives
La mise en œuvre concrète du prescrit de la législation vie privée risque de poser certains problèmes dans le cadre du dossier médical informatisé. Il existe, dans certaines hypothèses, des contradictions apparentes entre le droit médical classique et le droit à la protection des données médicales.
Dans la pratique, la mise en œuvre du droit de rectification risque d’être une source de conflits dans une relation de confiance entre le médecin et le patient.
Il faut par ailleurs tenir compte du fait que l’ensemble des droits accordés au patient constitue un réel budget dans la mise en œuvre d’un tel projet.
Enfin, en ce qui concerne le droit d’accès du patient, il faudra prévoir un système fiable techniquement qui permet de déterminer plusieurs niveaux d’accès. Ce système doit permettre le « marquage » des données qui seront accessible à certains autres professionnels de la santé sans doute préalablement déterminés. Certaines données seront accessibles directement par le patient alors que d’autres ne le seront que via un intermédiaire du monde médical. Ce système d’accès gradué ne peut fonctionner qu’en bénéficiant d’une base technique fiable et sécurisée.
Plus d’infos ?
HERVEG, Jean, VERHAEGEN, Marie-Noëlle, POULLET, Yves, « Les droits du patient face au traitement informatisé de ses données dans une finalité thérapeutique : les conditions d’une alliance entre informatique, vie privée et santé », in Revue du droit de la santé, 2002, n° 2. – pp. 56-85.