Informatique et confidentialité à l'hôpital

L’utilisation de l’informatique nécessite l’instauration de protections pour la mise en réseau d’informations personnelles, afin d’éviter tout mauvais usage. En effet, la gestion informatisée des données permet des croisements rapides qui peuvent favoriser les atteintes aux libertés individuelles.
Ainsi, la Commission nationale de l’informatique et des libertés (CNIL) est particulièrement vigilante sur les données de santé. Par ailleurs, l’Ordre des médecins a également mis très tôt au cœur de sa réflexion éthique et déontologique la protection des données médicales personnelles informatisées et échangées via les réseaux Internet [1] .

Référence:
[1] : La médecine sur internet ? Oui… mais pas sans déontologie ! Bulletin de l’Ordre des Médecins, Décembre 2000,  10-12

L'environnement législatif

La confidentialité des données personnelles médicales sur informatique obéit aux textes relatifs au secret de la vie privée (art. 9 du Code civil), au secret médical (art. R 4127-4 du Code de la santé publique et, pour le secret professionnel, art. 226-13 du Code pénal), à la loi garantissant la confidentialité des correspondances privées par voie de télécommunications, notamment celles qui concernent la santé, et à la loi Informatique et Libertés qui exige, elle aussi, la confidentialité et la sécurité des données (art. 29) [2] .

En effet, selon la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés :

« L’informatique doit être au service de chaque citoyen… [et] ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

Ainsi, la loi protège contre l’utilisation abusive ou frauduleuse de fichiers informatisés. Cette protection porte notamment sur les informations nominatives, c’est-à-dire « les informations qui permettent sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques auxquelles elles s'appliquent, que le traitement soit effectué par une personne physique ou par une personne morale »[3]  . Tout individu doit, de ce fait, être informé de la mise en fichier des informations nominatives le concernant qui sont par ailleurs protégées à toutes les phases du traitement : la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.

De plus, lorsque les données permettent l’identification des personnes, elles doivent être codées avant leur transmission. Il peut toutefois être dérogé à cette obligation lorsque le traitement de données est associé à des études de pharmacovigilance ou à des protocoles de recherche réalisés dans le cadre d’études coopératives nationales ou internationales ou si une particularité de la recherche l’exige [4].
Selon cette même loi, les droits du patient et les devoirs du médecin concernant les dossiers médicaux informatisés sont les suivants :

- Le droit à l'information (article 28) selon lequel les médecins recueillant sur leurs patients des données nominatives destinées à être informatisées sont tenus de les informer « du caractère obligatoire ou facultatif de la transmission des données, des conséquences à leur égard du défaut de transmission des données, des personnes physiques ou morales destinataires des informations, de l'existence d'un droit d'accès et de rectification. »

- Le droit à l'opposition et à l'oubli (article 26), qui reconnaît à toute personne « le droit de s'opposer, pour des raisons légitimes, à ce que des informations nominatives la concernant fassent l'objet d'un traitement ». Cependant, si l'on prend le texte au sens strict, ce droit ne s'applique pas au recueil d'informations soumis à la procédure de l'acte réglementaire, c'est à dire en pratique à la constitution des dossiers médicaux dans les hôpitaux publics. La CNIL a interprété plus largement ce texte en indiquant que le « droit d'opposition s'applique dans tous les cas, sauf mention contraire expressément portée dans l'acte réglementaire » [5] .
Le droit de s'opposer au recueil des informations est complété par un droit à l'effacement des données recueillies. Voici un exemple d’application du « droit à l’oubli » en 1991 : un malade suivi dans un hôpital lyonnais avait appris que son beau-frère, médecin, avait été nommé dans cet hôpital. Or, désirant que sa famille ne soit pas mise au courant de la nature de sa maladie et craignant qu'elle puisse l'apprendre grâce aux possibilités d'accès de son beau-frère au réseau informatique de l'hôpital, il a demandé et obtenu, non sans difficultés, que les données le concernant soient effacées [6].
Le droit à l'oubli a d'ailleurs une portée beaucoup plus générale. La CNIL, comme le Conseil de l'Europe, ont toujours affirmé que les informations nominatives ne devaient pas être conservées dans un système informatique plus longtemps que ne le nécessite la finalité déclarée des traitements. Ceci ne soulève pas de grandes difficultés pour les informations destinées à des recherches temporaires. Il n'en est pas de même pour les dossiers médicaux, du moins hospitaliers, puisque les textes relatifs à la conservation des dossiers dans les établissements hospitaliers publics et privés [7], imposent des délais de conservation très longs.

- Le droit de contestation et de rectification (article 36), grâce auquel « le titulaire du droit d'accès peut exiger que soient... rectifiées ou effacées les informations le concernant qui sont inexactes... ou dont la collecte... est interdite ». En cas de contestation, la charge de la preuve repose sur le service qui a recueilli l'information. L'application de ce droit de contestation aux dossiers médicaux informatisés ne sera pas facile puisque le patient, en raison de son droit d'accès indirect (seuls les professionnels de santé entrent les données et ont accès aux dossiers informatisés à l’heure actuelle), ne peut connaître la totalité des données recueillies sur lui-même et ne peut donc les contester.

- Le droit à la sécurité (article 29) selon lequel le responsable d'un fichier s'engage à prendre « toute précaution utile afin de permettre la sécurité des informations et notamment d'empêcher qu'elles soient déformées, endommagées ou communiquées à des tiers non autorisés ». Satisfaire à cette obligation, c'est assurer à la fois la confidentialité, l'intégrité et la disponibilité des informations.

Cette loi du 6 janvier 1978 a été renforcée par la loi du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé puisqu’il y est précisé à l’article L. 1110-4 du Code de la santé publique que « lorsque la personne est prise en charge par une équipe de soins dans un établissement de santé, les informations la concernant sont réputées confiées par le malade à l’ensemble de l’équipe. Afin de garantir la confidentialité des informations médicales…leur conservation sur support informatique, comme leur transmission par voie électronique entre professionnels, sont soumises à des règles définies par décret en Conseil d’Etat pris après avis public et motivé de la CNIL »[8]  .

Références:
[2] : Loi n° 78-17 du 6 Janvier 1978
[3] : Article 4 - loi n° 78-17 du 6 Janvier 1978
[4] : Articles 53 à 61 - loi n° 78-17 du 6 Janvier 1978
[5] : CNIL, 13ème rapport d’activité, 1992 : 22
[6] : CNIL, 15ème rapport d’activité, 1994 : 305-306
[7] : Article R1112-7 Code de la Santé Publique
[8] : Loi n°2002-303 du 4 Mars 2002 relative aux droits des malades et à la qualité du système de santé. Art. L.1110-4 du CSP

Le dossier médical personnel (DMP)

La loi relative à l’assurance maladie créant le dossier médical personnel (DMP) pour chaque assuré social a été adoptée le 13 août 2004. Elle définit les principes qui commandent la mise en place du DMP et qui seront précisés par décret en Conseil d’Etat pris après avis de la CNIL. En effet, en sa qualité d’autorité de protection des données personnelles, la CNIL a été associée dès le départ à la mise en place de dossiers médicaux partagés sur Internet et a de ce fait accompagné toutes les phases de définition et de réalisation du DMP.

Actuellement, le DMP a pu être expérimenté par 17 sites pilotes désignés dans le circulaire DHOS/E3 n°2006-281 du 28 juin 2006 relative à la mise en oeuvre du dossier médical personnel par les établissements de santé. Nous pouvons citer notamment les CHU de Lille, Strasbourg, Toulouse ou encore Amiens mais également des établissements de soins privés.

Le DMP sert d’outil informatisé supportant les échanges d’informations entre professionnels de santé, et ceci pour chaque bénéficiaire de la couverture d’assurance maladie. Seuls les professionnels de santé, et uniquement à l’occasion des actes de diagnostic, de soins ou de prévention et des consultations qu’ils prodiguent, auront accès au DMP. Ils ont pour obligation de s’assurer, préalablement à toute transmission, du respect effectif de l’anonymat des données relatives à leurs patients, et du fait que les organismes destinataires de données s’engagent à prendre toutes dispositions nécessaires pour garantir et maintenir cet anonymat. C’est pourquoi le législateur a prévu la création d’un identifiant national de santé des patients, utilisable dans l’ensemble du système de soins, notamment pour l’ouverture ou la tenue du DMP. Sur ce sujet, la CNIL a fait connaître sa position, préconisant le recours à un identifiant distinct du numéro d’inscription au répertoire des personnes physiques (NIRPP, plus communément appelé numéro de sécurité sociale).

Le décret confidentialité du 15 mai 2007 a concrétisé les recommandations de la CNIL, dans la mesure où il impose l’utilisation de la Carte Professionnel de Santé (CPS) comme procédé d’identification et d’authentification pour toute transmission ou accès aux données de santé, et plus particulièrement au DMP, y compris au sein d’une même structure. Mais la généralisation de la CPS n’est pas effective à ce jour, à l’hôpital en particulier. Pour ce faire, il faudrait une informatisation plus généralisée et une modernisation des systèmes d’information des professionnels de santé.
Il existe donc des difficultés d’instauration du DMP, comme en témoigne la décision gouvernementale de retarder de plusieurs années sa mise en place [9].

Référence:
[9] : Bulletin de l’Ordre des Médecins, Janvier 2008, 7-11

Quelles difficultés dans la pratique ?

L’informatisation du dossier médical génère de nombreuses interconnexions entre différents intervenants qui ont pour obligation de respecter le secret professionnel. L’objectif commun est néanmoins un partage d’informations afin d’améliorer la prise en charge d’un patient. A l’hôpital, il appartient au département d’information médicale (DIM) qui a pour fonction d’organiser le recueil, la circulation et le traitement des données médicales sous l'autorité d'un médecin, de veiller au respect de ce secret.

Qui a accès aux données informatisées ?

Bien que les informations soient réputées confiées à l’hôpital (article L 1110-4 du Code de la santé publique précité), seuls les soignants d’un patient donné peuvent déontologiquement partager l’information. L’accès informatique n’est autorisé qu’à partir d’un code utilisateur identifiable. Selon le code utilisateur entré dans le logiciel d’accès aux données médicales, le niveau d’information accessible est variable : un médecin aura accès à l’ensemble des informations médicales et résultats d’examens complémentaires tandis qu’un infirmier ou un aide soignant n’obtiendra pas l’intégralité des données. La confidentialité est donc assurée en théorie. Toutefois, si un professionnel de santé négligent laisse sa session ouverte sur un ordinateur commun localisé en salle de soins, des informations peuvent être divulguées à l’ensemble du service.
De la même façon, lorsqu’un dossier informatique est communiqué à un autre service lors d’un transfert de patient, lors d’une simple consultation ou d’un examen complémentaire (radiologie, par exemple), il est rarement vérifié qui utilisera l’ordinateur de réception. Par exemple, le personnel administratif de l’hôpital a souvent la possibilité d’accéder non seulement au nom des entrées mais aussi au motif d’hospitalisation.
La nature des informations peut aussi être source de difficultés. Les certificats médico-légaux établis pour violences sexuelles ou violences conjugales par exemple, sont des données sensibles qui ne font pas l’objet de protection spécifique. Rien n’interdirait leur lecture par le personnel chargé des archives.
Enfin, les patients eux-mêmes peuvent souhaiter ne pas diffuser indistinctement à tous les médecins l’intégralité de leur parcours. Citons le cas d’une mère de famille ne voulant pas exposer des antécédents d’interruption volontaire de grossesse (IVG) effectuée au début de sa vie de femme. Cette donnée pourrait pourtant rester visible sa vie durant sur le DMP de tous les médecins qu’elle consulterait ou sur le dossier hospitalier lors d’hospitalisations ultérieures.

Certaines catégories de patients posent des problèmes spécifiques

Il s’agit des patients détenus consultant dans les unités de consultation et de soins ambulatoires (UCSA) ou hospitalisés dans les unités d’hospitalisations sécurisées interrégionales (UHSI). En effet, qu’en est-il de l'informatisation des dossiers et du risque d'accès à ces données personnelles informatisées par l'administration pénitentiaire ? L’idée que l'administration pénitentiaire pourrait avoir accès au dossier médical et, qu'à l'inverse, les médecins pourraient avoir accès au dossier pénitentiaire, a même été récemment avancée. Le médecin des UCSA pourrait ainsi communiquer, sans se soucier du secret professionnel, à un médecin expert ou à l'administration pénitentiaire, des éléments cliniques relatifs à des patients détenus. Une telle proposition n’est pas acceptable. C’est bien grâce à un secret médical strictement respecté et à une indépendance du médecin par rapport à l’administration pénitentiaire, telle que l’a permise la loi de 1994, que le patient détenu peut avoir confiance dans le médecin de l’UCSA, médecin traitant en milieu carcéral. Seule cette relation de confiance rend possible les soins. Il faut rappeler que les praticiens exerçant en milieu carcéral, tout en ayant l’obligation de respecter les règles de sécurité qui y sont inhérentes, relèvent de l'autorité des centres hospitaliers publics auxquels ils sont rattachés.