Les professionnels de santé sont tenus au respect du secret médical, y compris entre eux s’ils n’appartiennent pas à une même équipe de soins. Le système d’informations de l’établissement dans lequel ils exercent doit donc faire l’objet de mesures techniques et organisationnelles susceptibles de garantir la sécurité, et donc la confidentialité, des données de santé qui y sont stockées.
1. Rappel du cadre légal
Le secret médical présente un périmètre très large : il couvre tout ce qui vient à la connaissance du professionnel de santé dans le cadre de l’exercice de sa profession. L’obligation au secret, générale et absolue, s’impose à l’égard des tiers, mais également à l’égard d’autres professionnels de santé dès lors que ces derniers ne concourent pas à un acte de soins. En effet, en application de l’article L. 1110-4 du Code de la santé publique, si l’échange d’informations sur un patient est possible, il doit intervenir uniquement (i) entre professionnels identifiés en charge du dossier patient ou (ii) entre professionnels d’une même « équipe de soins ». Le partage d’informations entre professionnels qui n’appartiennent pas à une même équipe de soins est interdite, sauf consentement du patient pour un tel partage[1].
Il appartient, par ailleurs, à tout professionnel de santé d’assurer la protection des données couvertes par le secret médical, données qui sont particulièrement sensibles et dont la protection est renforcée par les dispositions du RGPD. En qualité de responsable du traitement, il doit prendre toutes les mesures nécessaires pour garantir la sécurité des données qu’il a collectées et empêcher notamment leur divulgation à des tiers non autorisés (Articles 5.1.f) et 32 RGPD).
2. L’affaire[2]
Dans une affaire dont les faits se sont déroulés en Espagne, un établissement de santé a été sanctionné par l’autorité de protection des données locale pour ne pas avoir pris les mesures suffisantes pour empêcher les accès non-autorisés aux données par des tiers.
La plaignante, membre du personnel d’un hôpital, avait déposé une plainte auprès de sa direction au motif qu’une de ses collègues, infirmière, avait eu accès au contenu de son dossier médical pendant le temps où elle était soignée par le service des urgences. Les faits, qui n’étaient aucunement contestés par l’infirmière fautive, avaient par ailleurs été confirmés dans le cadre d’une enquête interne. Selon la plaignante, cet accès était inapproprié dès lors que sa collègue, affectée au bloc opératoire, n’était pas responsable de son dossier. C’est dans ce contexte que l’autorité espagnole de protection des données (l’AEPD) a été saisie.
Selon cette dernière, il s’agissait de déterminer si les mesures mises en place par l’hôpital étaient « suffisantes » pour prévenir ce type d’incident, qualifié de « violation de données » au sens du RGPD. En application de la procédure de sécurité en vigueur dans l’établissement, plusieurs mesures étaient en place au moment des faits, et notamment : la journalisation des accès dans le système ; la réalisation d’audit mensuels ; la ségrégation des profils en fonction des postes afin de limiter les accès au strict minimum ; la signature d’un accord de confidentialité rappelant les devoirs du personnel en termes de sécurité.
3. La décision
« Seule la segmentation des profils pour l’accès aux dossiers médicaux pourrait être considérée comme une mesure valable et efficace pour éviter des évènements tels que ceux objets du litige », a considéré l’AEPD. Et si l’hôpital a fourni une annexe qui détaille les profils de chacun, en différenciant le personnel administratif et le personnel de santé, et, au sein de cette dernière catégorie, en distinguant le personnel par type et par spécialisation, l’autorité de protection des données a considéré qu’une mesure essentielle faisait toutefois défaut : celle selon laquelle un professionnel de santé « ne devrait avoir accès qu’aux seuls dossiers médicaux des patients sur lesquels il exerce son activité de soins » et ce, conformément aux dispositions de la loi espagnole du 14 novembre 2002 sur l’autonomie du patient et les droits et obligations en matière d’information et de documentation médicale[3]. Ainsi, s’il est établi que le dossier médical est l’instrument essentiel de la prestation de soins au patient, « il est également clair que l’accès au dossier clinique ne peut être accordé qu’aux professionnels qui assistent le patient, non pas de manière générale, mais de manière particulière, en effectuant le diagnostic ou le traitement du patient. » En conséquence, il appartenait à l’établissement de santé de mettre en place des mesures garantissant que chaque membre de son personnel n’ait accès qu’aux seules données médicales relatives à ses propres patients. De telles mesures faisaient défaut dans le cas d’espèce, puisque l’infirmière en cause, qui n’était pas responsable de la plaignante, a pu accéder à son dossier médical, ainsi qu’à son historique clinique.
« Il ressort de ce qui précède que le défendeur [l’hôpital], en tant que responsable du traitement, n’a pas fait preuve de la diligence requise pour établir les mesures de sécurité nécessaires et éviter la diffusion des données à un tiers, en a conclu l’AEPD. En ce sens, la configuration des mesures techniques et organisationnelles doit être effectuée de manière à ce que, avant le traitement des données personnelles, il soit garanti que seul le personnel qui exerce son activité de soins sur la personne concernée puisse avoir accès aux dossiers. Si l’application informatique contrôlant l’accès aux dossiers médicaux était correctement programmée, elle serait en mesure de déterminer, au moment où l’accès est accordé, si la personne qui le demande (en fonction de sa spécialité, de son poste ou de son activité à ce moment-là) devrait être autorisée à y accéder. »
Dans ces conditions, l’autorité espagnole de protection des données a considéré que l’établissement de santé a manqué à son obligation de sécurité, telle que visée aux articles 5.1.f) et 32 du RGPD.
4. Ce qu’il faut retenir
Le stockage des données de santé dans un système d’informations accessible à l’ensemble des services d’un établissement de santé peut conduire à des « révélations » indues à des professionnels autres que ceux qui ont en charge le patient. Tout accès non-autorisé au dossier médical expose son auteur à des sanctions, mais aussi l’établissement de santé, en sa qualité de responsable du traitement.
Afin de limiter les risques que des personnes non autorisées accèdent aux données de santé à caractère personnel, il convient de mettre en place une politique de gestion des privilèges des utilisateurs sur les données. Il s’agit ainsi de définir, comme le recommande la CNIL, « un ou plusieurs profils d’utilisateurs de façon centralisée (avec des privilèges spécifiques d’utilisation des fonctionnalités, de création, d’accès, de modification, de transfert et de suppression des données) » et de faire rattacher « chaque personne à un des profils définis en début de contrat ou de changement d’emploi ». Il est également recommandé de prendre les mesures complémentaires suivantes : (i) identifier tout utilisateur ayant un accès légitime aux données par un identifiant unique ; (ii) limiter les utilisateurs/profils disposant de privilèges élevés aux opérations qui le nécessitent ; (iii) prévoir, pour chaque utilisateur, et d’autant plus s’il a des privilèges élevés, un mot de passe propre ; (iv) journaliser les informations liées à l’utilisation des privilèges et (v) enfin, réaliser un audit semestriel ou annuel des privilèges afin d’identifier et de supprimer les comptes non utilisés et de réaligner les privilèges sur les fonctions de chaque utilisateur.
[1] Conseil d’Etat, 15 novembre 2022 (commenté ici)
[2] AEPD, Décision n° PS/00587/2021.
[3] Loi 41/2002 du 14 novembre 2002, article 16 : « 1. Le dossier clinique est un instrument conçu fondamentalement pour garantir des soins adéquats au patient. Les professionnels de santé du centre qui effectuent le diagnostic ou le traitement du patient ont accès à l’histoire clinique du patient en tant qu’instrument fondamental pour sa prise en charge appropriée. 2. Chaque centre établit les modalités qui permettent l’accès à tout moment à l’histoire clinique de chaque patient par les professionnels de santé qui l’assistent. ».
Lien vers l’article original ici
