Toute personne prise en charge par un professionnel, un établissement, un réseau de santé ou tout organisme participant à la prévention et aux soins a droit au respect de sa vie privée et du secret des informations la concernant.Toute personne prise en charge par un professionnel, un établissement, un réseau de santé ou tout organisme participant à la prévention et aux soins a droit au respect de sa vie privée et du secret des informations la concernant.
Ce secret couvre l’ensemble des informations concernant la personne, venues à la connaissance du professionnel de santé, de tout membre du personnel de ces établissements ou organismes et de toute autre personne en relation, de par ses activités, avec ces établissements ou organismes. Il s’impose à tout professionnel de santé ainsi qu’à tous les professionnels intervenant dans le système de santé.
Outre le secret médical, la loi du 6 janvier 1978 modifiée, relative à l’informatique, aux fichiers et aux libertés, est venue définir les règles à respecter en matière de recueil et de traitement des données afférentes à la vie privée des patients.
Cependant, l’évolution technologique étant permanente, de nouvelles interrogations sur l’adaptation du droit à une telle évolution ne manquent pas de se poser.
La loi du 4 mars 2002, dite Kouchner, modifiant l’article L. 1110-4 du Code de la santé publique disposait ainsi qu’afin de garantir la confidentialité des informations médicales, leur conservation sur support informatique, leur transmission par voie électronique entre professionnels, ces dernières sont soumises à l’application des règles du décret pris en Conseil d’Etat après avis de la CNIL.
Après plus de 5 ans d’attente, le décret n°2007-960 relatif à la confidentialité des informations médicales conservées sur support informatique ou transmises par voie électronique a été signé le 15 mai 2007, fixant les modalités de sécurisation des échanges de données de santé.
Enfin, l’incertitude reste toutefois entière, dans la mesure où le régime instauré par le nouveau décret devra faire l’objet d’un développement par le biais d’arrêtés.
Les principales nouveautés introduites par le décret sont les suivantes :
Respect des référentiels
L’ensemble des informations médicales conservées et transmises grâce au support informatique sont soumises au respect de référentiels qui seront définis par arrêtés du ministre chargé de la santé, pris après avis de la CNIL. Ces référentiels ont pour but de déterminer les fonctions de sécurité nécessaires notamment par rapport à la sécurité physique des matériels et des locaux, aux modalités d’accès aux traitements, aux dispositifs de contrôle des identifications, aux procédures de traçabilité, mais aussi à la garantie de la confidentialité des informations transmises.
Déclaration ou demande d’autorisation à la CNIL
Le dossier de déclaration ou de demande d’autorisation auprès de la CNIL décrit les moyens retenus afin d’assurer la mise en conformité de ce traitement avec le référentiel le concernant. C’est le responsable du traitement, au sens de l’article 3 de la Loi informatique et libertés, qui est chargé de veiller au respect du référentiel. Il doit notamment : gérer la liste nominative des professionnels habilités à accéder aux informations médicales, mettre en œuvre les procédés assurant l’identification et la vérification de la qualité des professionnels de santé et porter à la connaissance de toute personne concernée par les informations médicales les principales dispositions prises pour garantir la conformité au référentiel.
Caractère obligatoire de l’utilisation de la carte des professionnels de santé (CPS)
L’article R 1110-3 du Code de la santé publique dispose que « en cas d’accès par des professionnels de santé aux informations médicales à caractère personnel conservées sur support informatique ou de leur transmission par voie électronique, l’utilisation de la carte de professionnel de santé mentionnée au dernier alinéa de l’article L. 161-33 du Code de la sécurité sociale est obligatoire. » Ainsi, le décret fixe le caractère obligatoire de la CPS pour les échanges de données de santé mais aussi pour l’accès à l’information. Auparavant, il était prévu que l’accès aux informations médicales pouvait s’effectuer grâce à l’utilisation de la CPS ou, à défaut par un dispositif d’identification individuel offrant des garanties et fonctionnalités similaires et agrée par le ministre chargé de la santé, après avis de la CNIL.
Les délais relatifs à la mise en application des dispositions du présent décret
Les professionnels de santé, établissements, réseaux ou organismes mentionnés à l’article R. 1110-1 du Code de la santé publique disposent d’un délai d’un an à compter de la date de publication des arrêtes pour se mettre en conformité avec les dispositions des articles R. 1110-1 à R. 1110-2 du CSP. Les dispositions de l’article R. 1110-3 du Code de la santé publique ne sont applicables aux établissements de santé que dans un délai de trois ans à compter de la publication du décret susmentionné.
Enfin, nous pouvons rappeler qu’au terme de l’article L. 1110-4 du Code de la santé publique, le fait d’obtenir ou de tenter d’obtenir la communication de ces informations en violation des articles R. 1110-1 à R. 1110-3 du Code de la santé publique est puni d’un an d’emprisonnement et de 15 000 euros d’amendes.