Protection des données de santé : quelles obligations pour le médecin ?

Un régime juridique particulier s’applique aux données de santé, justifié par le caractère sensible de ces dernières. Diverses dispositions relatives à ces données figurent notamment dans le code de la santé publique, mais ce sont le Règlement général sur la protection des données (RGPD) et la loi française Informatique et Libertés adaptée en conséquence qui constituent le socle de la nouvelle réglementation sur la protection des données personnelles, depuis 2018. Pour rappel, une donnée à caractère personnel (ou « donnée personnelle ») désigne toute information se rapportant à une personne physique identifiée ou identifiable de façon directe ou indirecte, et une donnée de santé est plus précisément toute donnée personnelle relative à la santé physique ou mentale d’une personne physique qui révèle des informations sur son état de santé (v. encadré).

Les médecins reçoivent et émettent des informations sur les patients pour assurer leur suivi  : dans le dossier « patient » (papier ou informatique), avec l’utilisation de plateformes numériques de gestion des rendez-vous, par la réalisation d’actes de télémédecine…

Les dispositions du RGPD s’appliquent donc à tous les traitements des données personnelles ainsi employées (collecte, enregistrement, organisation, conservation, transmission, etc.), qu’ils soient effectués sous une forme informatique ou non.

D’ailleurs, de façon globale, toutes les informations utilisées pour gérer le cabinet (gestion des fournisseurs, du personnel, etc.) sont également concernées car considérées comme des données personnelles.

Entré en application le 25 mai 2018, le RGPD a allégé les obligations en matière de formalités préalables à accomplir auprès de la Commission nationale informatique et libertés [Cnil] (déclarations, demandes d’autorisation…). 

Mais, en contrepartie de leur suppression, le responsable du traitement des données – en l’occurrence, le médecin – doit être en mesure de démontrer, à tout moment, sa conformité aux exigences du RGPD en traçant toutes les démarches entreprisesdans un registre des activités de traitement (v. modèle annexe en page 28 du guide de la Cnil).

Les professionnels de santé libéraux sont uniquement concernés par les référentiels dits « de droit souple » élaborés par la Cnil, qui sont des cadres de référence non contraignants ; les suivre et les respecter permet de mettre ses traitements de données en conformité avec le RGPD (v. le Référentiel relatif aux traitements de données à caractère personnel destinés à la gestion des cabinets médicaux et paramédicaux). Le second type de référentiel – pour les traitements soumis à autorisation de la Cnil – ne les concernent pas.

En cas de non-respect des obligations, le médecin peut être sanctionné administrativement par la Cnil, voire pénalement.

Certains principes généraux régissent le traitement de ces données :

• les données collectées sur les patients doivent être adéquates, pertinentes et limitées à ce qui est strictement nécessaire à leur prise en charge au titre des activités de prévention, de diagnostic et de soins ;
• la transmission de ces données doit être limitée aux seules personnes qui sont autorisées à y accéder au regard de leurs missions ;
• ces données ne peuvent être gardées indéfiniment ;
• les patients doivent être informés du traitement de leurs données, mais il n’est pas nécessaire de recueillir leur consentement ;

Le médecin est considéré comme « responsable de traitement » au sens de la réglementation sur la protection des données personnelles, puisque ces dossiers contiennent nécessairement des données personnelles, à la fois sur les patients et sur les autres professionnels intervenant dans leur suivi. Il doit donc s’assurer de la conformité des dossiers avec cette réglementation, que ceux-ci soient sous format papier ou traités avec un logiciel informatique. 

En vertu du principe de pertinence, de loyauté et de minimisation des données mentionné plus haut, toutes les informations révélées par le patient n’ont pas nécessairement vocation à intégrer son dossier. Seules les données utiles peuvent être légitimement enregistrées et conservées, notamment : données d’identification ; numéro de sécurité sociale ; selon les contextes, situation familiale et nombre d’enfants, profession, conditions de travail ; paramètres de santé tels que les antécédents, l’historique des soins, les diagnostics et traitements, la nature des actes effectués, les résultats d’examens… ; informations sur les habitudes de vie, lorsque c’est strictement nécessaire et si collectées avec l’accord du patient, entre autres. D’autres informations qui semblent pertinentes et nécessaires, au cas par cas, peuvent être collectées (ex. : origine ethnique exerçant une influence particulière sur une pathologie ou un traitement médical, habitudes alimentaires…), mais doivent être exclues toutes les informations sans lien avec l’objet de la consultation ou qui ne seraient pas indispensables aux soins (ex. : aspects de la vie privée lorsque non médicalement pertinents : religion, orientation sexuelle…).

Par ailleurs, les dossiers doivent répondre à des finalités déterminées, explicites et légitimes : édition des ordonnances, établissement et télétransmission des feuilles de soins, gestions des rendez-vous, envoi des courriers aux confrères… Toute autre utilisation est à réaliser avec précaution, et toute utilisation personnelle ou commerciale de ces dossiers est naturellement interdite.

Selon les préconisations du Conseil national de l’ordre des médecins, les dossiers médicaux doivent être conservés :

• 20 ans à compter de la date de la dernière consultation ;
• jusqu’au 28^e anniversaire du patient lorsque celui-ci est mineur et que le délai de 20 ans expirerait avant cet anniversaire ;
• 10 ans à compter de la date du décès du patient (s’il décède moins de 10 ans après sa dernière consultation).

Ces délais doivent toutefois être suspendus en cas d’action mettant en cause la responsabilité du médecin.

Enfin, les doubles des feuilles de soins doivent être conservées 3 mois.

Les patients doivent être informés de l’existence des dossiers et de leurs droits à cet égard. 

Cette information peut se faire par un affichage dans la salle d’attente ou par la remise d’un document (v. modèle annexe en page 27 du guide de la Cnil).

Une demande du patient d’accès à son dossier doit être examinée obligatoirement dans un délai de 8 jours (porté à 2 mois lorsque les informations datent de plus de 5 ans).

Le médecin se doit de prendre toutes les précautions pour empêcher que des tiers non autorisés aient accès aux données de santé. En particulier, le personnel administratif ne peut avoir un accès global aux dossiers des patients et les prestataires de services (sociétés de maintenance informatique, hébergeur de données de santé…) ne sont pas censés accéder aux données de santé personnelles, qui doivent donc être chiffrées. Si le logiciel gérant les dossiers « patients » est accessible à distance et est hébergé par un prestataire, celui-ci doit être agréé ou certifié pour l’hébergement des données de santé conformément à l’article L. 1111 - 8 du code de la santé publique ; si les dossiers sont sous format papier, ils doivent être placés en sécurité (locaux sécurisés, armoire contenant les dossiers fermée à clé).

Par ailleurs, un contrat de sous-traitance doit être passé avec tout prestataire de services, mentionnant, entre autres : que le prestataire prend toutes les mesures de sécurité requises, ne recrute pas de sous-traitant sans votre autorisation écrite préalable, supprime ou vous renvoie l’ensemble des données à caractère personnel à l’issue des prestations et collabore dans le cadre d’audits. 

En ce qui concerne la sécurisation du système informatique, certains grands principes doivent être respectés : mot de passe conforme aux recommandations (12 caractères, avec chiffres, majuscules et minuscules, caractères spéciaux, et renouvelé régulièrement) ; antivirus à jour, pare-feu ; sauvegardes régulières des données (hebdomadaires avec conservation des sauvegardes mensuelles sur 12 mois glissants) et leur conservation dans un lieu différent du cabinet ; chiffrement des données avec un logiciel adapté ; absence ou minimisation des connexions d’appareils non professionnels sur le réseau ; authentification forte, notamment via CPS ; etc.

En cas de violation de données (destruction, perte, altération, divulgation non autorisée de données à caractère personnel, accès non autorisé à de telles données) mettant en péril les droits et libertés des personnes, elle doit être notifiée à la Cnil par le biais d’un formulaire en ligne , et l’assurance de responsabilité professionnelle informée aussitôt. Si ce péril est jugé élevé, il faut également notifier dans les meilleurs délais la personne concernée par cette violation. En outre, cette dernière doit être inscrite dans un registre spécifique, un tableau récapitulatif des incidents ou même au sein du registre des activités de traitement 

Pour une information détaillée, consulter le guide de la sécurité des données personnelles publié par la Cnil.

En ce qui concerne les prestataires gérant les prises de rendez-vous, les obligations du médecin sont identiques à celles mentionnées plus haut pour les dossiers « patients » (contrat de sous-traitance conforme, enregistrement des données strictement nécessaires, utilisation légitime des informations, inscription dans le registre des activités de traitement, information donnée aux patients, limitation des accès, sécurisation du planning et de son contenu, notification en cas de violation des données, etc.), avec les particularités suivantes :

• les motifs de la consultation n’ont pas à être renseignés si cette dernière ne nécessite pas de préparation au préalable ou la réservation d’outils spécifiques ;
• les données relatives à la prise de rendez-vous peuvent être supprimées rapidement, dès lorsqu’elles ne sont plus nécessaires, contrairement aux dossiers « patients ».

L’utilisation des messageries électroniques – outre la messagerie sécurisée par laquelle passent les communications avec d’autres professionnels de santé, qui n’est accessible qu’à ces derniers – doit répondre à des critères de sécurité : chiffrer les pièces sensibles (v. fiche de la Cnil sur la cryptographie) ; protocole garantissant la confidentialité et l’authentification des serveurs destinataires pour le transfert des fichiers (SFTP, HTTPS) ; garantie de secret à la lecture du fichier (mots de passe transmis par un autre canal, par exemple). Ainsi, l’utilisation de toute messagerie ne chiffrant pas les données ou hébergeant celles-ci dans un pays ou auprès d’un prestataire non conforme au RGPD est à bannir. De même, les messageries instantanées ou « chat » doivent être utilisées avec la plus grande précaution et de façon sécurisée.

Enfin, si les téléphones portables et tablettes peuvent être utilisés dans un contexte professionnel, certaines règles de sécurité doivent être respectées, notamment : sécuriser l’accès à ces appareils (mot de passe fort, chiffrements…) et ne pas stocker les informations médicales relatives aux patients dans la mémoire interne de ces appareils ; l’utilisation de supports mobiles (clés USB, disques durs externes) est également déconseillée.