Le 22 janvier 2022, Médiapart révélait qu’un chirurgien de l’AP-HP en poste à l’hôpital Georges-Pompidou, à Paris, avait mis en vente le 13 novembre 2015 la radio d’une survivante du Bataclan. Aussi surprenante que cette nouvelle ait pu paraître, elle révèle le peu d’intérêt que certains médecins en particulier, et le personnel soignant en général, font du traitement des données de santé.

La question a pourtant toujours fait l’objet d’une attention particulière. Ainsi, sous l’égide de la loi informatique et liberté (Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés), sa mise en œuvre était soumise à autorisation préalable. Certaines étaient carrément soumises à des textes spécifiques.

Il en était ainsi de la communication des données personnelles de santé, qu’il s’agisse de l’échange des informations relatives à un même patient (Loi du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé), de la communication, sous forme nominative, aux organismes d’assurance maladie obligatoire, du code détaillé des actes, prestations et pathologies diagnostiquées chez les patients (article L. 161-29 du code de la sécurité sociale), de la déclaration aux autorités sanitaires de certaines maladies infectieuses qui nécessitent une intervention urgente (article L 3113-1 du code de la santé publique)…

Le RGPD entré en application le 25 mai 2018, a supprimé la condition de l’autorisation préalable, et a prévu, comme pour les autres traitements, des règles simples de traitement qu’on peut résumer en 5 principes :

• Principe de la licéité des traitements et de respect des droits des personnes

• Principe de finalité ;

• Principe de l’adéquation ;

• Principe de de durée de conservation ;

• Principe de sécurité et de confidentialité.

Appliqués aux données de santé, ces principes ont été rappelés dans divers guidelines de la CNIL et du Conseil National de l’Ordre de Médecins.

1- Le principe de précaution en matière de messagerie électronique, fax et de sécurisation des données en général.

Dans sa communication du 1er décembre 2015, la CNIL rappelle que la messagerie électronique et le fax, même s’ils apportent un gain de temps, ne constituent pas, a priori, un moyen de communication sûr pour transmettre des données médicales nominatives. Compte tenu en effet de l’absence générale de confidentialité du réseau Internet, la transmission par courrier électronique de données nominatives sur l’état de santé d’une personne comporte des risques importants de divulgation de ces données et d’intrusion dans les systèmes informatiques internes.

S’agissant de la messagerie électronique, la CNIL préconise ainsi aux professionnels de santé de recourir à une messagerie sécurisée intégrant un module de chiffrement des données (pour rappel, les messages transitent sur des serveurs intermédiaires et restent stockés sur le serveur de messagerie tant qu’ils n’ont pas téléchargés sur l’ordinateur du titulaire de la messagerie).

Pour ce qui est du fax, il est recommandé aux professionnel de santé de mettre en place diverses mesures propres à sauvegarder l’intégrité et la sécurité des données des patients :

• Le fax doit être situé dans un local médical, physiquement contrôlé et accessible uniquement au personnel médical et paramédical ;

• L’impression des messages doit être subordonnée à l’introduction d’un code d’accès personnel ;

• Lors de l’émission des messages, le fax doit afficher l’identité du fax destinataire afin d’être assuré de son identité …

Pour ce qui est de la sécurisation des données des patients contre les accès non autorisés ou illicites, la perte, la destruction ou les dégâts d’origine accidentelle, le Conseil National de l’Ordre des Médecins, dans ses guidelines du 22 mars 2019, recommande aux professionnels de santé de mettre en place des mesures de sécurité adaptées (utilisation de la carte professionnelle de santé, mot de passe personnel, utilisation d’un système de chiffrement fort en cas d’utilisation d’internet…). Pour ne pas avoir respecté ces obligations de chiffrement des données, la CNIL a, par délibération du 7 décembre 2020 (Délibération de la formation restreinte n° SAN-2020-014), infligé à deux médecins des amendes de 3 000 € et 6 000 € respectivement.

Si vos données sont hébergées par un hébergeur de données de santé agréé ou certifié, celui-ci doit garantir un niveau de sécurité adapté au risque. Le professionnel de santé doit vérifier ce point et conclure un contrat avec le prestataire, conformément à l’article L.1111-8 du code de la santé publique. Si les données sont hébergées par un hébergeur de données de santé agréé ou certifié, celui-ci doit garantir au professionnel de santé un niveau de sécurité adapté au risque. Il convient de vérifier que le niveau de sécurité est conforme à l’article L.1111-8 du code de la santé publique.

2- Les conseils aux médecins libéraux pour respecter les principes mis en œuvre par le RGPD

Faisant une synthèse de la législation mise en œuvre par le RGPD, le Conseil National de l’Ordre des Médecins prodigue aux professionnels de santé un certain nombre de conseils pratiques, qui vont de la tenue des dossiers patients aux échanges via les téléphones portables ou les tablettes.

Pour les dossiers patients, il est ainsi fortement recommandé de :

• Limiter les informations collectées au strict nécessaire ;

• Utiliser les dossiers patients conformément aux finalités définies (suivi des patients) ;

• Tenir un registre à jour de "traitements » ;

• Supprimer les dossiers patients et de manière générale, toute information ayant dépassé la durée de conservation préconisée. À titre d’exemple, les médecins libéraux doivent conserver, conformément aux recommandations du Conseil national de l’Ordre des médecins, les dossiers médicaux des patients pendant 20 ans à compter de leur dernière consultation.

• Informer les patients du traitement de leurs données et du respect de leurs droits.

Pour les prises de rendez-vous via un site ou une application tiers, le Conseil National de l’Ordre des Médecins recommande au professionnel de santé de limiter les informations collectées et de vérifier la conformité du prestataire avec la réglementation et notamment la présence des mentions obligatoires dans le contrat de sous-traitance.

Les mêmes précautions s’imposent lorsque le professionnel de santé échange des données de santé via un téléphone portable ou une tablette (sécurisation du terminal via un mot de passe et/un chiffrement des données, pas de stockage d’informations médicales sur le téléphone portable ou la tablette, mais la simple possibilité de les consulter…)

Assurément, le chirurgien ayant mis en vente la radio d’une de ses patientes avait oublié ces règles. L’oubli est d’autant plus blâmable que selon l’article L. 4113-7 du code de la santé publique, l'utilisation des données de santé à des fins de prospection ou de promotion commerciales, est interdite.

Jean-Marie TENGANG

Docteur en droit

Avocat à la Cour

Spécialiste en Droit de la Propriété Intellectuelle

Délégué à la Protection des Données