La protection des données auscultée

Avez-vous déjà lu le serment d’Hippocrate ? On le voit souvent comme un texte rédigé dans l’intérêt du patient et décrivant une relation exclusive entre le patient et son médecin. En fait, le médecin n’a pas, dans la version d’origine de cet engagement, à garder pour lui les informations sensibles de son patient. Au contraire, le secret médical est un secret professionnel, c’est-à-dire étendu à toute la profession : le partage d’informations sur des patients identifiables, voire identifiés, est admis et même recommandé. Et si le droit a beaucoup évolué depuis l’invention du serment d’Hippocrate, les textes d’aujourd’hui ne font, finalement, que donner une confirmation juridique à ces pratiques. Au risque de ne plus protéger les patients.

Protection des données de santé

Stéphanie Lacour, de l’Institut des sciences sociales du politique (ENS Paris-Saclay/CNRS), étudie l’évolution des régimes de protection des données de santé. La santé, définie comme un « état de complet bien-être physique, mental et social », touche de nombreux aspects de la vie quotidienne.
Pourtant, ce n’est qu’en 2004, sous l’influence de l’Union Européenne, que le droit français en fait une donnée « sensible » qu’il est interdit par principe de divulguer sauf exceptions. Elle était auparavant une donnée « personnelle », dont le partage est autorisé sous conditions. Mais Stéphanie Lacour affirme que, contrairement à ce que l’on pourrait croire, cette inversion du régime juridique ne s’est pas faite dans le sens d’une plus grande protection des données des patients. En effet, les exceptions admises se sont multipliées dans les textes de loi.

Avec la généralisation des usages numériques, les traitements de données de santé sont automatisés et passent par des dossiers auxquels plusieurs catégories d’acteurs (médecins, infirmiers, pharmaciens, conseillers, etc.) doivent avoir accès. Entre loi « Informatique et Libertés », protection de la vie privée, secret professionnel et droit de la santé publique, le consentement du patient au partage de ses informations devient une question juridique complexe et difficile à réguler.

Le traitement d’une donnée de santé est autorisé sous deux conditions : d’une part, la personne mettant en œuvre le traitement doit être soumise au secret professionnel et, d’autre part, la finalité du traitement doit être bien établie. L’information du patient reste un préalable incontournable. Mais c’est la méthode d’expression du consentement (ou de l’opposition) qui n’est pas précisément définie, laissant libre cours à des dérives.

Par exemple, il y a présomption de consentement lorsqu’une personne est prise en charge par une équipe de soin dans un établissement de santé. Les informations sont partagées à l’ensemble de l’équipe sans que le consente-ment ne soit explicitement demandé à chaque transmission d’information ni à chaque nouvel interlocuteur. Or le terme « équipe » peut avoir une interprétation large, dépassant parfois le cadre de l’hôpital.

Avant internet, lorsqu’un médecin adressait un patient à un autre spécialiste, c’était le patient qui transmettait à ce dernier le courrier non scellé décrivant la situation. Il donnait ainsi son consentement de fait. Maintenant, un mail peut suffire. Il ne s’agit alors plus d’un droit d’opposition mais d’un consentement préalable, obligatoire et rétractable. Un régime juridique complètement différent de la présomption de consentement utilisée à l’hôpital.

Des données hébergées par des tiers

Prenons maintenant le cas d’un hébergement des données par des tiers. En 2004, la loi a transformé l’accord exprès du patient en droit d’opposition. De plus, un motif légitime doit être invoqué. Même si l’hébergeur devra être agréé par le ministre de la Santé, trouver une raison pour refuser le partage de ses données revient donc à la charge du patient. Or, à ce stade, ni le malade ni son médecin ne peuvent vraiment savoir où se situent les données, stockées sur le « cloud ». La protection des données de santé n’est ainsi plus aujourd’hui l’apanage des membres du corps médical.

Enfin, l’échange de données de santé entre professionnels de santé et non-professionnels de santé du champ social et médico-social est désormais autorisé par la loi de 2015. Le décret associé (du 20 juillet 2016) précise que pour ces échanges, seule l’information préalable des patients est requise. Or le texte inclut des personnes aux profils très variés, des aides médico-psychologiques aux accueillants familiaux qui demeurent assez éloignés des critères usuels d’une activité professionnelle. On peut, dès lors, craindre que les limites du secret professionnel, dernier rempart protégeant les données des patients, ne soient rapidement dépassées.

Présentée comme une digue contre les abus, la loi « Informatique et Libertés » produit donc un cadre juridique plus ouvert : la protection, dépendante des situations, ne s’en trouve pas renforcée, bien au contraire. Cependant, cette loi considère seulement la possibilité d’opérer des traitements sur des données de santé. Il faudra attendre la mise en œuvre concrète de la loi (quels traitements seront effectivement envisagés ? Par qui ?) pour savoir si le système de santé numérique vers lequel on tend s’abstiendra, comme le voulait Hippocrate, de tout mal et de toute injustice.

Publication : S. Lacour, Du secret médical aux dossiers de santé électroniques. Réflexions juridiques sur la protection des données de santé, Médecine & Droit, Volume 2013, Issue 138, June-July 2016, Pages 62-69, ISSN 1246-7391