Article
What's up Doc. Des collectes massives de données de santé sont-elles possibles en France, à l'insu des patients, comme cela vient de se produire aux États-Unis ?
Corinne Khayat. Ce transfert de données entre le réseau de santé Ascension et Google n’aurait pas dû se produire. Nous parlons de données de santé, des données extrêmement sensibles, qui ne peuvent pas être collectées, ni transférées librement. En Europe, avec notamment le règlement général sur la protection des données (RGPD) (1), en vigueur depuis mai 2018, il n’est pas possible de collecter ni transférer des données de santé sans le consentement explicite de la personne concernée, sauf dans certains cas listés par le RGPD. Pour héberger des données de santé, l’hébergeur doit disposer en France et en application du code de la santé publique d’un agrément. Dès lors, l’hébergeur se trouve soumis à plusieurs obligations dont celle du secret médical sous peine de sanction pénale. Néanmoins, aucun pays ni système informatique n’est à l’abri d’une faille, les fuites relevant alors d’un dysfonctionnement du système de sécurité.
WUD. Dans le contexte d'extension actuelle du DMP en France, quelles sont les garanties de confidentialité ?
C. K. Aucun DMP ne peut être ouvert sans l’accord explicite du patient. C’est l’Assurance Maladie qui est en charge de la sécurité du DMP et les données de santé sont stockées sur un serveur sécurisé agréé par le ministère de la Santé. Seuls les professionnels de santé autorisés par le patient ont accès au DMP du patient. Tout accès non autorisé est passible d’une peine d’emprisonnement et d’une amende. Par ailleurs, le patient reste libre de supprimer son DMP s’il le veut, mais ses données seront conservées pendant dix ans.
Aucun DMP ne peut être ouvert sans l’accord explicite du patient
WUD. Les assureurs pourraient-ils avoir accès à ces données de santé ?
C. K. Les assureurs ont accès aux données de santé avec le consentement du patient. Toutes données de santé collectées sans autorisation par l’assureur constituent une violation du règlement. Cette violation peut faire l’objet d’une plainte par le patient ou une autosaisine de la Cnil suite à un contrôle. La Cnil est très vigilante et les sanctions financières peuvent atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial. Dans ces conditions, il n’est clairement pas de l’intérêt d’un professionnel de contrevenir sciemment à ces règles.
WUD. Quelles précautions peuvent prendre les jeunes médecins dans ce contexte ?
C. K. Les médecins ont entre les mains des données très sensibles, quel que soit le support (dossiers papier, fichier informatique…). Ils doivent veiller évidemment à sécuriser ces données et à ne les transférer à un tiers que dans le cadre de la réglementation. Je pense qu’il serait très utile que des formations sur ce sujet soit organisées par les instances représentatives de la profession afin que chaque médecin ne s’expose pas lui-même à un risque juridique et financier.
*associée du cabinet UGGC Avocats
(1) https://www.cnil.fr/fr/reglement-europeen-protection-donnees