D’après l’article 2 de la loi Informatique et liberté de 1978, texte particulièrement protecteur, une « donnée à caractère personnel » se définit comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, par un référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».
Quant aux « données de santé à caractère personnel », elles recouvrent bien plus données liées à la personne physique elle-même. Selon le projet de Règlement européen relatif aux données personnelles, il s’agit de « toute information relative à la santé physique ou mentale d’une personne, ou à la prestation de services de santé à cette personne ».
La loi Informatique et liberté interdit la collecte et le traitement des données personnelles concernant les origines raciale ou ethnique, les opinions politiques, syndicales, philosophiques et religieuses des personnes, mais également les données concernant la santé et tout particulièrement la vie sexuelle, à l’exception « des traitements nécessaires aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l’administration de soins ou de traitements, ou à la gestion des services de santé, et mis en œuvre par un membre d’une profession de santé ».
Les droits du patient
Depuis la loi Kouchner de 2002, le patient a un droit d’accès aux données le concernant, et en particulier au dossier médical constitué par les établissements publics de santé comme ceux de l’AP-HP. Il s’agit aussi bien du dossier médical papier, comprenant les comptes-rendus d’hospitalisation et de consultation, les examens de laboratoire, ou encore l’imagerie médicale, que du dossier informatique ou informatisé.
L’établissement de santé est le gardien et non le propriétaire de ces données. Il doit en assurer la bonne tenue et la communication au patient, ce qui pose souvent des problèmes très concrets d’extraction de données issues de systèmes d’information et de répertoires très divers en fonction des services et des spécialités présents au sein d’un même hôpital. Le dossier en question doit être exhaustif et la jurisprudence de la CNIL en excepte uniquement les notes personnelles du médecin.
Le dossier médical étant considéré comme un document administratif, il existe une jurisprudence parallèle, celle de la CADA (Commission d’accès aux documents administratifs). L’approche de la CADA est sans doute moins protectrice du patient que celle de la CNIL, qui s’efforce souvent de prémunir le patient contre lui-même. À un établissement de santé qui se demandait s’il avait le droit de communiquer à un patient son dossier médical à travers une simple adresse mail, comme celui-ci l’exigeait, la CADA a répondu que le patient était un adulte censé mesurer les risques qu’il prenait pour lui-même ou pour autrui et en assumer la responsabilité.
En ce qui concerne le dossier médical informatisé, l’article 39 de la loi de 1978, rappelé à l’article 43 du même texte, prévoit que le patient a le droit de demander la rectification, le complément ou l’effacement de certaines mentions « pour un motif légitime ». La jurisprudence est toutefois assez restrictive sur cette notion de « motif légitime ». Le patient a également le droit de s’opposer à ce que les données à caractère personnel le concernant fassent l’objet d’une collecte ou d’un traitement, sauf si ce traitement répond à une obligation légale ou si ce droit est expressément écarté par la disposition spéciale de la CNIL qui a autorisé le traitement en question. En vertu des articles 25 et 26 de la loi de 1978, la CNIL jouit ainsi d’une prérogative que ses détracteurs jugent abusive sur le traitement et la conservation des données dites sensibles, en particulier toutes les données qui pourraient être visées par l’interdiction concernant la vie privée, les origines raciales ou les mœurs figurant à l’article 8.
Enfin, le patient a droit à une information a priori et systématique sur son droit d’accès aux données le concernant et de rectification de ces données, ainsi que sur les droits généraux liés à la personne.
Les droits des professionnels de santé
La loi Informatique et liberté pose que l’ensemble des données médicales liées au parcours de santé du patient dans l’établissement doivent être accessibles, dans son intérêt, à tous les professionnels de santé qui le prennent en charge.
Le Code de la Santé publique définit l’équipe de soin de façon très restrictive : il s’agit des professionnels de santé directement concernés par la prise en charge médicale du patient. L’article 25 du projet de loi Santé marque à cet égard une ouverture, puisque l’équipe médicale serait élargie à l’ensemble des professionnels participant directement ou indirectement aux actes de diagnostic et aux actes thérapeutiques, de compensation du handicap ou de prévention de la perte d’autonomie, c’est-à-dire à la sphère non seulement médicale mais médico-sociale et sociale.
Le consentement du patient ne serait requis que pour des personnes extérieures à cette équipe de soin entendue au sens large.
Les droits des chercheurs
Je n’ai pas le temps de développer beaucoup le dernier point, sur l’accès aux données personnelles au titre de la recherche et des études sur les politiques de santé publique.
Nous devrons être attentifs à l’article 43 du projet de loi de Marisol Touraine qui prévoit que les chercheurs puissent avoir accès non seulement à la base de données SNIIRAM mais à la base PMSI (Programme de médicalisation des systèmes d’information) et à d’autres bases nationales.
|
Télécharger le PDF de l’article