En France, c’est fin 2018 que le déploiement du dossier médical partagé (DMP) a eu lieu sur l’ensemble du territoire. Sa mise en place fut longue et chaotique, puisque son ébauche – le dossier médical personnel – date de 2004 : près de quinze ans… quatre présidences… et sept gouvernements ! Ce fameux carnet de santé numérique « répond à un enjeu de santé publique […] et est le gage d’une meilleure prise en charge médicale des patients », selon le site de l’Assurance maladie.Ses objectifs attendus sont louables : meilleure coordination entre professionnels de santé ; gain de temps dans le recensement des antécédents d’un nouveau patient ; adressage facilité à un confrère ; réduction des doublons d’examens ; diminution du risque de fraude pour les médicaments de liste I…1
Oui, mais cela signifie-t-il que tout professionnel de santé peut avoir accès à l’ensemble des données de santé des patients qu’il prend en charge ? Le consentement du patient est-il tacite pour chaque échange au sein de son parcours de soins ? Est-il possible de sanctuariser certaines informations dans le DMP ? Ces questions sont d’autant plus importantes que, depuis janvier 2022, le DMP est associé à la rubrique « Mon espace santé », hébergée par la CNAM, donc par un assureur !
En réponse, le gouvernement a modifié le système : possibilité de refuser que les informations médicales soient incluses dans la base de données ; obligation pour les prestataires de soins de santé d’obtenir un consentement avant d’accéder à un dossier médical (décret n° 2022-1719 du 28 décembre 2022).2 Cela peut-il suffire à contenter les opposants au DMP ?
Et, au-delà du DMP, comment se prémunir du partage des données médicales à travers le monde lorsque celles de 42 millions de Français3 utilisant une célèbre plateforme de e-santé sont stockées sur un serveur (Amazon Web Services) appartenant au géant américain du e-commerce ? Aux États-Unis, ces données sont soumises au Foreign Intelligence Surveillance Act et au Clarifying Lawful Overseas Use of Data Act, deux lois fédérales permettant l’accès aux données de communication ; elles sont ainsi accessibles aux services américains du renseignement et au département de la Justice.4 Dans notre pays, il n’existe aucune garantie que seuls les acteurs concernés ont accès aux données stockées par cette plateforme.
Bien sûr, en France, les données, et a fortiori les données médicales, sont particulièrement protégées, notamment par le RGPD, la loi Informatique et libertés et le code de la santé publique, textes que la CNIL se charge de faire respecter.5
Néanmoins, on ne maîtrise pas tous les risques... La preuve en est que récemment, l’hôpital de Corbeil-Essonnes puis celui de Versailles ont été victimes de cyberattaques, et leurs données médicales ont été diffusées sur le dark web. Pour l’hôpital André-Mignot, l’impact a été lourd : activité des urgences diminuée de moitié, transferts de patients, déprogrammation partielle des activités du bloc opératoire… À l’issue de cette attaque, le ministre de la Santé a déclaré que l’hôpital s’était « mis en mode protection des données »…N’aurait-il pas fallu déployer des mesures en amont ?
Une force numérique française – mais également européenne – de collecte et de stockage des données médicales n’est-elle pas devenue indispensable ? Et cela dans un cadre juridique établissant des règles communes à tous les pays de l’Union européenne pour la gestion des données, dont celles de santé.
2. Décret n° 2022-1719 du 28 décembre 2022 relatif aux moyens d’identification électronique interrégimes mentionnés aux articles L. 161-31 et L. 161-33 du code de la sécurité sociale. JORF n° 0302 du 30 décembre 2022.
3. Doctolib.fr. L’année 2020 en chiffres : plus de 42 millions de patients prennent rendez-vous en ligne. 22 décembre 2020.
4. Manens F. Comment Doctolib justifie le choix du géant américain Amazon pour héberger les données des Français. La Tribune, 27 mai 2022.
5. https://www.cnil.fr/fr/sante