Réflexion à propos de la législation sur la protection des données de santé et l’agenda internet de prise de rendez-vous

Rapprocher le nom d’un soignant à celui d’un patient, savoir quel spécialiste soigne ce patient sont des données de santé couvertes notamment en France par la législation sur le secret médical.
Cela me rappelle une session du comité d’Éthique chargé des projets numériques d’un GCS qui souhaitait ouvrir à tous les soignants la liste des praticiens donnant leurs soins à un patient ; il ne m’avait suffit que d’une phrase pour indiquer à ses membres dont le représentant de l’ARS que cela posait problème : « …dit moi qui te soigne et je te dirai ce que tu as ! … »

L’utilisation, l’hébergement et le transfert numérique de données de santé sont très encadrés en Europe et en France notamment par le RGPD. Aussi les plateformes ont adopté l’hébergement HADS et le cryptage des données. Il persiste néanmoins un certain nombre de points mal explicités ou reportant la responsabilité sur le patient voire encore limites par rapport à la législation.

Le RGPD impose la tenue d’un registre du traitement des informations, d’un registre recensant les éventuels incidents et la désignation d’un responsable du traitement avec communication de ses coordonnées. Sur les sites internet des fournisseurs d’agenda pas de désignation du responsable des traitements numériques, absence de coordonnées et absence de conseils pour les utilisateurs afin qu’ils signalent l’utilisation d’un agenda numérique en ligne sur leur propre registre.

Plus grave le rappel des RDV aux patients par mail et/ou SMS : il est fait par définition « en clair » par messagerie ordinaire sans cryptage ! Les fournisseurs reportent la responsabilité sur le patient en l’obligeant à donner son accord quand il sollicite un RDV. Sauf que les praticiens qui ont un planning à 2 entrées (par internet et à partir de leur propre secrétariat) voient leurs RDV se reporter automatiquement sur leur agenda internet avec rappel des patients sans qu’ils n’aient donner leur consentement.

Maintenant et selon moi, même si le patient donne son consentement cela reste répréhensible un patient ne pouvant légalement délier un professionnel du secret. Celui-ci reste responsable de toute indiscrétion ! Pire pour les plateformes, le fait de demander au patient d’autoriser la divulgation peut être sanctionné selon l’article L1110-4 de la Loi n° 2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé.

« Art. L. 1110-4. – Toute personne prise en charge par un professionnel, un établissement, un réseau de santé ou tout autre organisme participant à la prévention et aux soins a droit au respect de sa vie privée et du secret des informations la concernant.
« Excepté dans les cas de dérogation, expressément prévus par la loi, ce secret couvre l’ensemble des informations concernant la personne venues à la connaissance du professionnel de santé, de tout membre du personnel de ces établissements ou organismes et de toute autre personne en relation, de par ses activités, avec ces établissements ou organismes. Il s’impose à tout professionnel de santé, ainsi qu’à tous les professionnels intervenant dans le système de santé…
Le fait d’obtenir ou de tenter d’obtenir la communication de ces informations en violation du présent article est puni d’un an d’emprisonnement et de 15 000 Euros d’amende
… »

Dr Marcel GARRIGOU-GRANDCHAMP, Lyon 3è, CELLULE JURIDIQUE FMF