Actualité juridique

Confidentialité des données médicales personnelles : clôture de la mise en demeure

Le 21/10/2013, par La Rédaction de Net-iris, dans Technologies / Sécurité & Protection.

Vos réactions...

   

Le centre hospitalier qui n'avaient pas respecté le caractère confidentiel des données de ses patients s'est conformé à la loi et à l'avis de la CNIL.

Suite à une procédure de contrôle engagée les 5 et 6 juin 2013, la CNIL (Commission nationale de l'informatique et des libertés) avait adopté, le 25 septembre 2013, une mise en demeure à l'encontre du Centre hospitalier de Saint-Malo. Elle avait en effet pu constater qu'un prestataire avait pu accéder, et ce, avec le concours de l'établissement, aux dossiers médicaux et aux donnés sensibles relatives à plusieurs centaines de patients, ce qui est formellement interdit.

Normalement, au sein des établissements de santé publics et privés, les actes pratiqués à l'occasion de la prise en charge des malades sont "codés" selon une nomenclature particulière. Ainsi, à chaque nouvelle prise en charge des malades correspond un code de remboursement par l'assurance maladie. D'un point de vue strictement financier, il convient de préciser que la précision du codage influence directement la dotation des établissements hospitaliers concernés.

Rappelons que selon les dispositions du Code de la Santé publique, les établissements de santé doivent procéder à une analyse de leur activité. A ce titre, il convient pour les hôpitaux de détecter d'éventuelles erreurs de codage, et c'est dans le but d'identifier ces anomalies qu'il est souvent fait appel à des sociétés extérieures. Le recours à ces entreprises prestataires doit cependant être autorisé par la CNIL. En effet, selon les dispositions prévues au chapitre 10 de la loi Informatiques et Libertés, les traitements de données à caractère personnel à des fins d'évaluation, ou d'analyse des activités de soin et de prévention, doivent être soumis à l'autorisation préalable de cette Commission.

A la suite d'un contrôle au centre hospitalier de Saint Malo, la CNIL avait pu relever que la société prestataire mandatée par l'établissement avait, avec le concours de l'établissement hospitalier, accédé aux dossiers médicaux de 950 patients (informatisés ou en version papier).

Après avoir constaté la gravité des manquements, la CNIL avait donc décidé de mettre en demeure le centre hospitalier de St-Malo. Il est vrai qu'aux vues de la sensibilité des données auxquelles le prestataire a eu accès (des données médicales) et du nombre de personnes concernées, un avertissement s'avérait nécessaire. Il est de plus permis d'espérer qu'une telle faille de sécurité ne se reproduise plus à l'avenir, grâce à la mauvaise presse de celle affaire.

Il convient cependant de signaler que cette mesure ne constituait en aucun cas une sanction, mais avait seulement pour but de forcer le centre hospitalier à se conformer à la loi dans le délai imparti.

La mise en demeure adressée par l'hôpital à la CNIL est désormais close. Le centre hospitalier a réagi à cette décision le jour même de sa réception, et a tout de suite mis en place des mesures comme la suppression de l'accès informatique par le prestataire aux dossiers médicaux, et la formalisation d'une politique stricte de sécurité des systèmes d'information.

Aucune suite ne sera donc donnée à la mise en demeure. Cependant, il convient de constater que l'immixtion au sein de la vie privée des patients a tout de même eu lieu.

D'un point de vue plus large, cette atteinte à la vie privée des patients pourrait être révélatrice d'un problème de fond. Dès lors que les données médicales peuvent devenir accessibles par d'autres personnes que les membres des personnels hospitaliers, ne peut-on pas imaginer que la fuite de ces données sensibles pourrait avoir un impact indirect sur la vie sociale et professionnelle des patients ? En effet, si l'employeur apprend, de façon détournée, le problème médical grave auquel est confronté l'un de ses salariés, cette information ne pourrait-elle pas avoir un impact sur la présence de ce salarié au sein de l'entreprise ? Les discriminations dues à l'état de santé, bien qu'interdites par le Code du travail, ne sont pas, hélas, que vues de l'esprit...

Outre le fait que cette immixtion du prestataire dans les dossiers médicaux des patients a pu constituer une véritable violation de la vie privée, cette affaire doit conduire les entreprises, qui font usage de données à caractère sensibles, à se questionner sur leur conformité à la loi Informatique et Libertés, et notamment sur le respect des dispositions relatives à l'usage de la biométrie. De plus, rappelons que certains fichiers sensibles doivent faire l'objet d'une déclaration, normale, ou simplifiée, sous peine de sanctions.

Les patients, quant à eux, se doivent de mesurer l'impact des nouvelles technologies sur les dispositifs de santé.

© 2013 Net-iris

   

Pour approfondir ce sujet :

Commentaires et réactions :



-