PROFESSIONNEL

Professions médicales : Attention au traitement des données personnelles des patients.

CAMILLE MERLET / 1 NOVEMBRE 2017

Vous exercez dans le milieu médical, vous n’êtes donc pas sans savoir que vous avez de nombreuses obligations en matière de traitement des données personnelles de vos patients.

Les professions médicales doivent être particulièrement attentives à la réglementation en vigueur et pour cause, ne pas jouer le jeux peut vous coûter cher !

Récemment, un chirurgien dentiste a été condamné à payer à un de ses patients la somme de 10.000 € pour avoir refusé de lui donner accès aux données à caractère personnel contenues dans son dossier médical. Une pédiatre a été condamnée pour ne pas avoir sécurisé les informations médicales de ses patients.

1. Obligation de respecter le droit d’accès au patient : données personnelles versus secret professionnel

L’article 39 I 4° et l’article 43 de la loi du 6 janvier 1978 prévoient en matière de données personnelles que :

• les patients ont le droit d’interroger le praticien en vue d’obtenir la communication de leurs dossiers et plus généralement de toutes données à caractères personnel qui les concernent.
• Le praticien doit être en mesure de remettre une copie des données à caractère personnel soit directement au patient soit par l’intermédiaire d’un médecin qu’il désigne à cet effet.

Négliger cette demande vous expose à une condamnation et ce même si vous êtes en conflit avec votre patient et si vous estimez qu’il s’agit du secret professionnel.

En effet, le 18 mai 2017, la Commission Nationale de l’Informatique et des Libertés (CNIL) considère que les obligations déontologiques, notamment celles liées au secret médical, ne peuvent pas être invoquées. (Décision de la CNIL)

L’article L. 1111-7 du code de la santé publique dispose que : « Toute personne peut accéder à ces informations directement ou par l’intermédiaire d’un médecin qu’elle désigne et en obtenir communication » .

• Attention, seul un délai de 8 jours suivant la demande est possible, ce délai est porté à 2 mois lorsque les informations médicales datent de plus de 5 ans.
• Seule une demande abusive peut ne pas être satisfaite par le praticien

Pour ne pas avoir respecté ces règles sur les données personnelles, un chirurgien dentiste a été condamné à payer 10.000 € à un de ses patients qui avait réclamé son dossier médical.

2. Le médecin doit protéger contre toute indiscrétion les documents médicaux concernant les personnes qu’il a soignées ou examinées

Les données médicales sont des informations sensibles qui nécessitent un haut niveau de sécurité, et en application des dispositions de la loi Informatique et Liberté du 16 janvier 1978, par principe, elles ne peuvent être utilisées et divulguées que dans des conditions définies par la loi.

Elles imposent aux professionnels de santé, comme aux responsables de fichiers, de prendre les mesures nécessaires pour garder notamment leur confidentialité, leur accessibilité qu’à des personnes habilitées notamment en raison de leurs fonctions.

Le non respect de cette obligation de sécurité, par négligence ou par l’absence de mesures de sécurité, est prévu et sanctionné par la Loi Informatique et Liberté et l’article 226-17 du Code pénal.

Donc les réseaux de santé qui souhaitent mettre en œuvre un dossier médical partagé accessible via internet par les professionnels de santé, doivent notamment effectuer une demande d’autorisation préalable auprès de la Commission Nationale de l’Informatique et des Liberté en application des articles 26 et 27 de la loi 7817 du 6 janvier 1978, dite loi Informatique et Libertés.

L’activité d’hébergement des données de santé consiste en une activité d’externalisation, de détention et de conservation de ces données recueillies ou produites à l’occasion d’un acte de prévention, de diagnostic ou de soin, et confiées à un tiers, afin d’assurer leur pérennité et leur confidentialité ; un contrat lie l’hébergeur et la personne ou l’organisme à l’origine du dépôt des données.

En application des dispositions de l’article L111-8 du Code de la santé publique, les hébergeurs de données médicales doivent être agréés.

• Attention donc à l’hébergeur à qui vous confiez le traitement des données de vos patients.

Une pédiatre Marseillaise a fait appel à un développeur et hébergeur afin de constituer une base de données « patients » sur les grands prématurés. Elle a collecté toutes les informations de santé d’avant la naissance jusqu’à l’âge de trois ans. L’idée était de détenir le maximum de données afin d’évaluer les risques encourus. Il s’agissait d’un outil informatique et statistique pour réaliser des analyses des données.

Le Tribunal de Grande Instance de MARSEILLE l’a condamné ainsi que son développeur pour ne pas avoir respecté ces principes et ce même si elle arguait que c’était pour faire avancer la science.

Le cabinet Constance Avocats vous aide à vous a y retrouver entre la nécessaire protection des données personnelles et son articulation avec le secret professionnel, n’hésitez pas à nous contacter pour plus de renseignements, toutes les prestations sont devisées à l’avance.