Avec le développement et la démocratisation du numérique, les autorités médicales acquièrent la capacité de collecter et de traiter les informations personnelles des patients avec plus de précision et plus rapidement. En 2020, 2 314 exaoctets (1 exaoctet équivaut à 1018 octets) de données de santé ont été produits dans le monde. Ces informations regroupent, selon la définition du RGPD, toutes les données se rapportant à l’état de santé d’une personne sur le plan physique ou mental. Ces renseignements décrivent l’état de santé de la personne dans le présent et/ou dans le passé et le futur.
On retrouve différents types de données de santé :
– Les informations confidentielles concernant les antécédents médicaux, un traitement clinique, un handicap ou une maladie. Ces données proviennent souvent d’un médecin, d’un test de diagnostic, des hôpitaux ou d’un autre professionnel de santé.
– Les informations révélées par un test ou par l’examen sanguin ou l’analyse d’une autre substance (urine, tissus, etc.)
– Les informations relatives à la personne physique, comme le numéro de sécurité sociale, l’adresse personnelle et les coordonnées téléphoniques. Les hôpitaux, les assureurs et mutuelles rassemblent ces données lors d’une hospitalisation, d’une prestation de soins ou d’une inscription pour bénéficier d’une offre de soins.
La collecte, le stockage et le traitement de ces informations confidentielles ont des implications éthiques, légales et sociales de santé. Ce questionnement éthique concerne toutes les parties impliquées dans la chaîne d’exploitation de ces données personnelles. L’objectif de tous les intervenants consiste à garantir un usage digne de ces renseignements, sans causer de tort à la personne concernée.
1. Les responsabilités des sources de données
En matière d’éthique, les sources de données ont des obligations à respecter vis-à-vis de la personne. Le code de déontologie du médecin l’oblige notamment à solliciter le consentement éclairé du patient avant de collecter et conserver n’importe quelle catégorie de donnée de santé le concernant. Le patient est libre de donner son accord par écrit ou verbalement, en fonction de la situation. Cette responsabilité vaut aussi pour un centre hospitalier, un cabinet de soin bucco dentaire et les autres services de santé essentiels (ambulanciers, urgence, sage-femme, cabinet de psychiatrie, etc.).
En plus du consentement du patient, les sources de données s’engagent aussi à protéger la confidentialité des données personnelles. En cas de besoin, le partage de ces informations se fait selon des règles strictes et dans des environnements contrôlés, dans lesquels le patient peut décider des renseignements qu’il souhaite partager avec d’autres professionnels de santé.
À noter toutefois que le RGPD prévoit des situations exceptionnelles dans lesquelles le traitement des données personnelles de santé est autorisé, même sans l’accord explicite du patient. Ces circonstances sont détaillées dans l’article 65 de la Loi informatique et libertés. Elles renvoient toutes à des situations relevant de l’intérêt public, l’évaluation d’une politique publique de santé ou la recherche. En dehors de ces référentiels de sécurité, les informations personnelles de santé ne peuvent être cédées ou exploitées à des fins autres qu’un traitement médical.
2. Les responsabilités des utilisateurs de données
Les personnes physiques ou morales chargées du traitement des données de santé confidentielles ont des obligations à respecter dans le cadre de leurs activités. Elles déterminent les moyens et les finalités du traitement des informations à caractère personnel. Cela inclut notamment :
– Les mesures organisationnelles et techniques appropriées et actualisées, qui permettent de traiter les données de santé dans les conditions de sécurité prévues par le Règlement général sur la protection des données (RGPD).
– Les mesures organisationnelles et techniques garantissant l’utilisation effective des informations confidentielles selon les termes prévus lors de la collecte. Les données personnelles ne peuvent pas servir pour une finalité autre que ce qui a été approuvé par le patient.
Souvent, les CHU, centres médico sociaux et autres établissements de santé confient le traitement et le stockage des données à un ou plusieurs sous-traitants. Dans ce cas, les sous-traitants sélectionnés pour ces interventions de santé publique doivent présenter au préalable toutes les garanties nécessaires à la mise en œuvre de mesures organisationnelles et techniques appropriées. L’article 28 du RGPD définit clairement les obligations d’un sous-traitant en matière de protection de la vie privée et de respect des droits fondamentaux des patients.
3. Les responsabilités des autorités
La collecte de données de santé est aujourd’hui pratiquée par différents organismes et intervenants en santé. Entre les hôpitaux, les cabinets dentaires, les médecins traitants, les assureurs et les mutuelles, les informations confidentielles sur la santé d’une personne intéressent du monde. Comment s’assurer que ces renseignements personnels soient utilisés à bon escient ? Les autorités ont la lourde responsabilité de surveiller les conditions de collecte et d’exploitation de ces données de santé. Elles définissent les normes et le cadre légal qui garantissent la sécurité du traitement de ces informations sensibles.
En cas de violation de la confidentialité de ces données, les autorités – par l’intermédiaire de la CNIL en France et du PFPDT en Suisse – examinent les notifications et les plaintes de la victime ou de ses représentants. Elles mènent ensuite les enquêtes sur la santé, afin de déterminer les responsabilités des intervenants et comprendre la source ou les circonstances de la violation des données. Le responsable du traitement des données est-il en tort ? Ou s’agit-il d’une faute de l’hébergeur, du fournisseur d’accès internet (FAI) ou de l’éditeur de l’outil de collecte ? Cette instruction permet de faire la lumière sur l’ampleur de la violation des données personnelles et d’évaluer en conséquence la nature du préjudice subi.
En plus d’apporter les preuves du non-respect de la confidentialité des données, l’enquête améliore la compréhension des mécanismes mis en œuvre pour garantir l’intégrité de ces informations personnelles. Les autorités peuvent s’en inspirer pour promouvoir une réflexion sur des solutions permettant de renforcer le système de santé et optimiser le protocole de collecte, de stockage et de traitement des données personnelles de santé.
Les autorités sont par ailleurs habilitées à prononcer les sanctions à l’encontre des contrevenants. Il existe différents niveaux de sanctions, en fonction de la gravité des faits et des préjudices subis :
– Un simple rappel à l’ordre, pour les infractions minimes
– Une injonction de mise en conformité
– Une limitation temporaire ou définitive de l’autorisation de traitement
– Une suspension des flux de données
– Une amende administrative
En France, la CNIL est l’organisme chargé de constater les infractions et de prononcer les sanctions correspondantes. Si les faits portent atteinte aux droits de la personne, la responsabilité civile du responsable de traitement peut être engagée. Dans ce cas, des sanctions pénales sont envisageables, conformément aux articles L 221-16 à L 226-24 du Code pénal français. Dans ce cas, le Tribunal peut prononcer des peines allant d’une amende à une interdiction d’exercer l’activité professionnelle.
Partie 5 – Les principes éthiques de la relation médecin-patient