Blog santé, préjudice corporel

Sécurisation des données de santé, protection des droits des patients

09/03/2016Patrick de la GRANGE, Mme Victoire LAJUGIE

La CNIL a eu l’occasion de définir les données de santé comme des données individualisées recueillies auprès des professionnels de santé et relatives à leurs prescriptions et à leurs pratiques médicales. 

 

Sécurisation des données de santé, protection des droits des patients

Aux termes de son arrêt du 6 novembre 2003, Bodil Lindqvist, affaire C-101/0, la CJUE retient la définition suivante 

« Eu égard à l'objet de [la directive du 24 octobre 1995], il convient de donner à l'expression « données relatives à la santé » employée à son article 8, paragraphe 1, une interprétation large de sorte qu'elle comprenne des informations concernant tous les aspects, tant physiques que psychiques, de la santé d'une personne… ».

En leur qualité de données sensibles, elles sont protégées par le secret médical. Dès qu’elles sont collectées et stockées, ces informations font l’objet d’une protection particulièrement sécurisée, qui malheureusement n’est pas sans faille.

Ce dispositif de sécurisation des données doit rechercher un délicat équilibre  entre la préservation  du secret médical (1), et l’exigence croissante de qualité de la prise en charge du patient (2). 

1. Le secret médical des données de santé protégé par le législateur 

La protection des données de santé dématérialisées est assurée d’une part par des obligations imposées aux acteurs de la prise en charge du patient et d’autre part, par la reconnaissance de droits issus du secret médical. 

L’article L.1110-4 du code de la santé publique consacre le droit au secret médical qui doit gouverner le traitement informatique des données de santé. Tout patient a droit au respect de sa vie privée et au secret des informations la concernant. 

De ce fait, tous les professionnels, les établissements de santé ainsi que les hébergeurs de données de santé et leurs sous-traitants sont soumis au secret médical et doivent en assurer le respect.

Il leur est imposé de mettre en place des dispositifs de sécurité informatique (logiciel), ainsi que des mesures protection techniques conformes aux exigences en vigueur et à l’état de l’art, tel qu’exprimé notamment dans la Politique Générale de Sécurité de Systèmes d’Information de Santé (PGSSI-S)  à savoir:

  • toutes précautions utiles en termes de mesures d’authentification personnelle des professionnels de santé (par exemple, un accès contrôlé aux serveurs, telle que la carte de professionnelle de santé prévue à l’article L.161-33 du code de la sécurité sociale), et des patients  (identifiant de santé des « bénéficiaire de l’assurance maladie pris en charge ») ;
  • traçabilité de l’ensemble des accès aux données personnelles de santé,
  • une organisation de déploiement, de surveillance et de maintien de la sécurité de l’information dans tous ses aspects : logique (firewall, cryptage, mot de passe), physique (carte à puce…), organisationnel, etc.


La CNIL a eu plusieurs fois l’occasion de rappeler à l’ordre des centres hospitaliers pour non respect de la confidentialité des données. Notamment lorsqu’un prestataire bénéficie des mêmes identifiants que le médecin du département d’information médicale et a donc accès au contenu de tous les dossiers médicaux de l’établissement. 

Ils sont également soumis aux conditions de sécurité et de confidentialité strictes dans le  traitement des données de santé aux étapes de la collecte, de l’utilisation, communication stockage et de la destruction des données de santé . 

En vertu de l’article 32 de la loi n°78-17 « informatique et liberté », le patient a le droit d’être informé lors du recueil des données le concernant et de se faire communiquer des informations sur l’identité des auteurs du traitement ou encore sur les destinataires des données de santé. 

En outre, avant l’adoption de la loi du 26 janvier 2016, n° 2016-41 qui a abrogé cette disposition, le patient devait consentir au recueil de données le concernant. 

Selon l’article 38 de la loi de 1978, il bénéficie également d’un droit d’opposition, pour des motifs légitimes, à ce que les données de santé le concernant fassent l’objet d’un traitement informatisé, sauf dans l’hypothèse où le traitement répond à une obligation légale ou quand cette faculté est écartée par les texte, par exemple dans l’hypothèse de traitement de maladies à déclaration obligatoire tel le Chikungunya ou le virus de l’hépatite B. 

Sauf demande abusive le patient dispose d’un droit d’accès aux informations le concernant, il peut obtenir une copie des ces données, à sa demande. Comme pour la délivrance du dossier médical papier, cette copie peut être facturée. 

Il peut enfin exiger la rectification ou la suppression des données qui le concernent au responsable du traitement. 

2. La protection du secret médical ne doit cependant pas compromettre une prise en charge optimale du patient

La loi de modernisation du système de santé du 26 janvier 2016 modifie la notion de dossier médical « personnel », crée par la loi du 13 août 2004, introduisant une nécessaire souplesse exigée par l’activité quotidienne des soignants, notamment dans les conditions de l’urgence.

Le dossier médical est toujours constitué de l’ensemble des données mentionnées à l’article L.1111-8 du code de la santé publique, recueillies dans le cadre d’activités de soins, et permettant le suivi des prestations. 

Il est crée auprès d’un hébergeur spécifiquement titulaire d’un agrément délivré par le ministère de la santé, sur la base d’un processus de certification selon un référentiel à paraître.

Mais dorénavant, il n’est plus personnel mais partagé

La nouvelle rédaction du premier alinéa de l’article L. 1111-8 vient consacrer le principe d’agrément sur certification de l’hébergement des données de santé au détriment de celui du consentement préalable du patient tel que le prévoyait l’alinéa 1er in fine de l’article L.1111-8. 

La nouvelle rédaction du code de la santé publique met en lumière la nécessaire information préalable du patient à la conservation des données de santé le concernant nonobstant la nature du support. Ce dernier ne dispose dorénavant que d’un droit d’opposition pour motif légitime. 

Le législateur n’a pas précisé l’étendue de cette notion. 

Par ailleurs, le législateur a consacré le principe du secret médical partagé par l’extension de la notion d’équipe médicale (article L.1110-12 du Code de santé publique modifié). 

Cette notion inclût notamment tous les professionnels qui participent aux actes de soins ou à leur coordination exerçant dans le même établissement. 

Le législateur a retenu une définition élargie de cette « équipe » , englobant les praticiens exerçant au sein s’un même établissement, jusqu’au médecin traitant (dans son rôle de coordinateur de soins) jusqu’à un ensemble « fourre-tout » dont les contour sont renvoyés à un décret…

Ce texte ne va pas sans engendrer quel qu’inquiétudes car plus  la structure de prise en charge est grande, plus le secret médical est (largement) partagé. 

En effet, la nouvelle rédaction de l’article L. 1111-4 du code précité prévoit qu’un professionnel de santé peut échanger avec un ou plusieurs professionnels identifiés, à la condition qu’ils participent tous à la prise en charge du malade. 

Sous réserve du consentement préalable du patient, les professionnels même s’ils ne font pas partie de la même équipe ont désormais la faculté d’échanger et de partager les informations qu’ils détiennent sur leur patient en commun. 

Par opposition, un praticien (nonobstant sa qualité) qui n’intervient pas dans la prise en charge d’une personne hospitalisée n’a pas vocation à avoir accès à ses données de santé (a fortiori, en est-il de même pour les autres soignants et les agents administratifs).

Cette notion de secret médical partagé est davantage élargie avec la mise en place de la lettre de liaison dématérialisée synthétisant les informations nécessaires à la prise en charge du patient que les professionnels de santé peuvent s’adresser et déposer dans le dossier médical partagé au moyen d’une messagerie sécurisée. 

Dans le cadre de la modernisation du système de santé, l’ASIP (Agence des systèmes d’informations partagés de santé) envisage, avec le Gouvernement, de rendre opposable par arrêté ministériel le référentiel qu’elle a élaboré concernant la sécurité des systèmes d’information de santé. 

Ce référentiel s’imposerait aux hébergeurs de données de santé, alors que ceux-ci souhaiteraient conserver la maîtrise de leurs services informatisés.

*

Si cette réforme tend à améliorer la coordination et la qualité de la prise en charge des patients, en modernisant la notion d’équipe médicale, en fluidifiant la transmission d’information, qui passe du courrier papier à la messagerie (évidemment sécurisée …) puis au système d’information partagé, on peut s’interroger sur les risques de cyber-fuites et des risques liées à la viralité des informations au détriment du secret médical pierre angulaire du droit des patients. 

 

Aux termes de son arrêt du 6 novembre 2003, Bodil Lindqvist, affaire C-101/0, la CJUE retient la définition suivante 

« Eu égard à l'objet de [la directive du 24 octobre 1995], il convient de donner à l'expression « données relatives à la santé » employée à son article 8, paragraphe 1, une interprétation large de sorte qu'elle comprenne des informations concernant tous les aspects, tant physiques que psychiques, de la santé d'une personne… ».

En leur qualité de données sensibles, elles sont protégées par le secret médical. Dès qu’elles sont collectées et stockées, ces informations font l’objet d’une protection particulièrement sécurisée, qui malheureusement n’est pas sans faille.

Ce dispositif de sécurisation des données doit rechercher un délicat équilibre  entre la préservation  du secret médical (1), et l’exigence croissante de qualité de la prise en charge du patient (2). 

1. Le secret médical des données de santé protégé par le législateur 

La protection des données de santé dématérialisées est assurée d’une part par des obligations imposées aux acteurs de la prise en charge du patient et d’autre part, par la reconnaissance de droits issus du secret médical. 

L’article L.1110-4 du code de la santé publique consacre le droit au secret médical qui doit gouverner le traitement informatique des données de santé. Tout patient a droit au respect de sa vie privée et au secret des informations la concernant. 

De ce fait, tous les professionnels, les établissements de santé ainsi que les hébergeurs de données de santé et leurs sous-traitants sont soumis au secret médical et doivent en assurer le respect.

Il leur est imposé de mettre en place des dispositifs de sécurité informatique (logiciel), ainsi que des mesures protection techniques conformes aux exigences en vigueur et à l’état de l’art, tel qu’exprimé notamment dans la Politique Générale de Sécurité de Systèmes d’Information de Santé (PGSSI-S)  à savoir:

  • toutes précautions utiles en termes de mesures d’authentification personnelle des professionnels de santé (par exemple, un accès contrôlé aux serveurs, telle que la carte de professionnelle de santé prévue à l’article L.161-33 du code de la sécurité sociale), et des patients  (identifiant de santé des « bénéficiaire de l’assurance maladie pris en charge ») ;
  • traçabilité de l’ensemble des accès aux données personnelles de santé,
  • une organisation de déploiement, de surveillance et de maintien de la sécurité de l’information dans tous ses aspects : logique (firewall, cryptage, mot de passe), physique (carte à puce…), organisationnel, etc.


La CNIL a eu plusieurs fois l’occasion de rappeler à l’ordre des centres hospitaliers pour non respect de la confidentialité des données. Notamment lorsqu’un prestataire bénéficie des mêmes identifiants que le médecin du département d’information médicale et a donc accès au contenu de tous les dossiers médicaux de l’établissement. 

Ils sont également soumis aux conditions de sécurité et de confidentialité strictes dans le  traitement des données de santé aux étapes de la collecte, de l’utilisation, communication stockage et de la destruction des données de santé . 

En vertu de l’article 32 de la loi n°78-17 « informatique et liberté », le patient a le droit d’être informé lors du recueil des données le concernant et de se faire communiquer des informations sur l’identité des auteurs du traitement ou encore sur les destinataires des données de santé. 

En outre, avant l’adoption de la loi du 26 janvier 2016, n° 2016-41 qui a abrogé cette disposition, le patient devait consentir au recueil de données le concernant. 

Selon l’article 38 de la loi de 1978, il bénéficie également d’un droit d’opposition, pour des motifs légitimes, à ce que les données de santé le concernant fassent l’objet d’un traitement informatisé, sauf dans l’hypothèse où le traitement répond à une obligation légale ou quand cette faculté est écartée par les texte, par exemple dans l’hypothèse de traitement de maladies à déclaration obligatoire tel le Chikungunya ou le virus de l’hépatite B. 

Sauf demande abusive le patient dispose d’un droit d’accès aux informations le concernant, il peut obtenir une copie des ces données, à sa demande. Comme pour la délivrance du dossier médical papier, cette copie peut être facturée. 

Il peut enfin exiger la rectification ou la suppression des données qui le concernent au responsable du traitement. 

2. La protection du secret médical ne doit cependant pas compromettre une prise en charge optimale du patient

La loi de modernisation du système de santé du 26 janvier 2016 modifie la notion de dossier médical « personnel », crée par la loi du 13 août 2004, introduisant une nécessaire souplesse exigée par l’activité quotidienne des soignants, notamment dans les conditions de l’urgence.

Le dossier médical est toujours constitué de l’ensemble des données mentionnées à l’article L.1111-8 du code de la santé publique, recueillies dans le cadre d’activités de soins, et permettant le suivi des prestations. 

Il est crée auprès d’un hébergeur spécifiquement titulaire d’un agrément délivré par le ministère de la santé, sur la base d’un processus de certification selon un référentiel à paraître.

Mais dorénavant, il n’est plus personnel mais partagé

La nouvelle rédaction du premier alinéa de l’article L. 1111-8 vient consacrer le principe d’agrément sur certification de l’hébergement des données de santé au détriment de celui du consentement préalable du patient tel que le prévoyait l’alinéa 1er in fine de l’article L.1111-8. 

La nouvelle rédaction du code de la santé publique met en lumière la nécessaire information préalable du patient à la conservation des données de santé le concernant nonobstant la nature du support. Ce dernier ne dispose dorénavant que d’un droit d’opposition pour motif légitime. 

Le législateur n’a pas précisé l’étendue de cette notion. 

Par ailleurs, le législateur a consacré le principe du secret médical partagé par l’extension de la notion d’équipe médicale (article L.1110-12 du Code de santé publique modifié). 

Cette notion inclût notamment tous les professionnels qui participent aux actes de soins ou à leur coordination exerçant dans le même établissement. 

Le législateur a retenu une définition élargie de cette « équipe » , englobant les praticiens exerçant au sein s’un même établissement, jusqu’au médecin traitant (dans son rôle de coordinateur de soins) jusqu’à un ensemble « fourre-tout » dont les contour sont renvoyés à un décret…

Ce texte ne va pas sans engendrer quel qu’inquiétudes car plus  la structure de prise en charge est grande, plus le secret médical est (largement) partagé. 

En effet, la nouvelle rédaction de l’article L. 1111-4 du code précité prévoit qu’un professionnel de santé peut échanger avec un ou plusieurs professionnels identifiés, à la condition qu’ils participent tous à la prise en charge du malade. 

Sous réserve du consentement préalable du patient, les professionnels même s’ils ne font pas partie de la même équipe ont désormais la faculté d’échanger et de partager les informations qu’ils détiennent sur leur patient en commun. 

Par opposition, un praticien (nonobstant sa qualité) qui n’intervient pas dans la prise en charge d’une personne hospitalisée n’a pas vocation à avoir accès à ses données de santé (a fortiori, en est-il de même pour les autres soignants et les agents administratifs).

Cette notion de secret médical partagé est davantage élargie avec la mise en place de la lettre de liaison dématérialisée synthétisant les informations nécessaires à la prise en charge du patient que les professionnels de santé peuvent s’adresser et déposer dans le dossier médical partagé au moyen d’une messagerie sécurisée. 

Dans le cadre de la modernisation du système de santé, l’ASIP (Agence des systèmes d’informations partagés de santé) envisage, avec le Gouvernement, de rendre opposable par arrêté ministériel le référentiel qu’elle a élaboré concernant la sécurité des systèmes d’information de santé. 

Ce référentiel s’imposerait aux hébergeurs de données de santé, alors que ceux-ci souhaiteraient conserver la maîtrise de leurs services informatisés.

*

Si cette réforme tend à améliorer la coordination et la qualité de la prise en charge des patients, en modernisant la notion d’équipe médicale, en fluidifiant la transmission d’information, qui passe du courrier papier à la messagerie (évidemment sécurisée …) puis au système d’information partagé, on peut s’interroger sur les risques de cyber-fuites et des risques liées à la viralité des informations au détriment du secret médical pierre angulaire du droit des patients.