Skip to main content

Ensemble, nous avons toujours une étape d'avance

Les données médicales sur les patients sont-elles en sécurité?

22 March 2019

Le règlement RGPD[1] influence tous les domaines de la vie humaine. Une attention particulière est requise pour le traitement par les établissements sanitaires ou hôpitaux des informations concernant la documentation médicale. Le RGPD définit ces informations comme « informations à titre personnel concernant la santé physique ou psychique de la personne physique, éventuellement les informations relatives à la prestation des soins sanitaires qui révèlent les informations relatives à sa condition de santé ».

Étant donné l’importance du traitement de ce type de données personnelles,  le RGPD fournit aux informations révélant les informations relatives sur l’état de santé de la personne une protection particulière. Cette dernière est traduite par la nécessité du choix d’une base juridique spécifique permettant de traiter ce type d’informations et par la satisfaction de certaines conditions pour le traitement des données personnelles (par exemple la définition de la personne responsable, l’évaluation et l’appréciation de l’influence, réalisation obligatoire des enregistrements relatifs aux activités de traitement, etc.). Ceci dit, l’accent mis sur la sécurité plus élevés de ce type de données est évident.

Le traitement des données doit se faire conformément aux principes de corrections, sécurité, minimisation et proportionnalité[2]. Les données personnelles doivent être traitées dans les moindres limites. Cependant lors de leur traitement seul le nombre limité d’entité peut y participer. Justement la violation de ces principes a donné lieu à infliger l’amande, historiquement la plus haute, à un établissement sanitaire (400.000 euros).

L’autorité portugaise pour la protection des informations à titre personnel a constaté que les employés de l’établissement sanitaire local Centro Hospitalar Barreiro Montijo avaient accès au système d’information contenant l’état de santé des patients à travers les profils dits « fictifs ». Il s’agissait de profils qui appartenaient au personnel sanitaire qui ne travaillait pas depuis longtemps dans l’hôpital. A part cela, ces profils permettaient de consulter sans différence tous les enregistrements sanitaires des patients[3]. Sur la base de ces constatations il était résolu que l’établissement sanitaire n’a pas mise en place de mesures techniques suffisantes pour la protection des informations à titre personnel de ses patients et que ce dernier n’a pas garanti d’intégrité, d’accessibilité et de sécurité permanente des systèmes et des services sanitaires. L’argument de l’établissement sanitaire que le système d’information a été livré par l’État et donc c’est l’État qui en assume la responsabilité, n’a pas été accepté. L’autorité portugaise pour la protection des informations à titre personnel a décidé que c’est à l’établissement médical de garantir que le système d’information soit conforme aux exigences de RGPD

Au problème semblable, mais pas dans les mêmes limites, a fait face l’hôpital à Tábor; en République tchèque[4]. L’autorité tchèque pour la protection des information à titre personnel a reçu, suite à une initiative, une suspicion de la violation potentielle de la protection des informations à titre personnel et cela sous forme de consultation de la documentation électronique médicale d’une patiente et de la modification de son contenu par les personnes non-autorisées. Le contrôle suivant a permis de constater les insuffisances du système, plus particulière « log de la documentation électronique médicale ». Par log l’on entend les traces électroniques ou enregistrements permettant de vérifier qui, quand et pour quelle raison a accédé aux informations à titre personnel[5]. Les logs créés dans ce cas n’étaient pas capables de présenter toutes les informations requises par RGPD. En conséquent et de fait, l’hôpital n’était pas en mesure de contrôler de manière efficace la pertinence de l’accès de son personnel à cette documentation. Ce qui peut servir de parallèle du cas de l’établissement médical portugais, c’est bien les autorisations trop larges d’accès du personnel de l’hôpital. En pratique cela veut dire que, exception faite de la documentation psychiatrique des patients, tous les salariés médicaux avaient l’accès à la toute la documentation des patients. Leur procédure a été complètement en contradiction avec le principe de minimisation du traitement et avec le principe de sécurité lors du traitement.

Le résultat du contrôle de l’hôpital à Tábor a été la constatation de l’inobservation des dispositions RGPD concernant les mesures insuffisantes contre l’accès fortuit ou non autorisé aux données personnelles et en conséquent contre leur traitement et leur abus. En raison de cette inobservation une amende a été infligée à l’hôpital. L’amende, en comparaison avec l’établissement médical portugais, symbolique de 40.000 Kč (1.560 euros).

La diversité du montant des amendes dans les deux cas consistait notamment en gravité de la violation des dispositions RGPD et donc en menace des droits et intérêts protégés par les droits des personnes physiques. Vu les critères ci-dessus il est indubitable que l’existence des soi-disant « comptes morts » à partir desquels il était possible d’obtenir les informations sur les patients sans limitation de leurs limites ni objectif, comme cela était le cas de l’établissement médical portugais, ne peut pas être comparée avec les logs mal programmés de l’hôpital de Tábor. L’hôpital de Tábor a immédiatement remédié à cette situation. L’ambivalence de l’évaluation de ces deux cas, apparemment semblables, paraît comme justifiée et juste.

L’intérêt des autorités de contrôle par rapport au respect du traitement légal et correct des données médicales des patients peut être évalué comme hautement positif. Il faut se rendre compte que les données de la documentation médicale des patients utilisent une protection exceptionnelle, comme ,du contexte de leur traitement, les risques importants auraient pu courir face aux droits fondamentaux et libertés fondamentales de personnes physiques[6]. Les situations où ces données pourraient finir entre les mains des personnes non-autorisées (par exemples les sociétés pharmaceutiques) pourraient avoir, par rapport à l’atteinte réelle des droits et des intérêts juridiquement protégés des patients, des conséquences néfastes.

Les informations ci-dessus prises en compte, l’on peut constater que la problématique de la protection de ce genre de données personnelles est un domaine trop compliqué et notamment peu exploré. Étant donnée la courte efficacité du RGPD et de l’insuffisance conséquente des informations pertinentes nous recommandons que le procédé de chaque établissement médical soit coordonné par un spécialiste correspondant dans le domaine de la protection des informations à titre personnel.

 

[1] Le règlement du Parlement et du Conseil européens (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques lors du traitement des informations à titre personnel et sur la libre circulation de ces informations qui annule la directive 95/46/CE (règlement général relatif à la protection des données)

[2] Source : https://www.itgovernance.eu/blog/en/portuguese-hospital-appeals-gdpr-fine

[3] En pratique il est ordinaire que les enregistrements sanitaires choisis sont accessibles aux personnel médical étant donnée leur spécialisation et le caractère des informations contenues

[4] Source : https://www.uoou.cz/kontrola-zabezpeceni-osobnich-udaju-pacientu-nemocnice-tabor-a-s/ds-5374/archiv=1&p1=1279

[5] Jugement de la Cour suprême, réf. 7 As 150/2012 du 30 janvier 2013

[6] Récital 51 du Règlement du Parlement et du Conseil européens (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques lors du traitement des informations à titre personnel et sur la libre circulation de ces informations qui annule la directive 95/46/CE (règlement général relatif à la protection des données)

Partner comment

« La protection des informations à titre personnel est un sujet discuté quelques mois. En dépit des efforts remarquables des autorités nationales de préparer une interprétation engagée et unificatrice de RGPD, en pratique nous faisons souvent face à des problèmes importants d’application. La raison en est non seulement le différent milieu juridique des pays sur le territoire desquels le RGPD est appliqué, mais bien souvent l’absence du sens et des raisons de son adoption.

Un formalisme sévère ou bien au contraire, un libéralisme injustifié de son interprétation, peut, vu les activités des personnes intéressées par le traitement des informations à titre personnel, s’avérer indésirable. Il est indispensable que le traitement des informations à titre personnel soit accompagné par les mécanismes fiables juridiques, capables d’empêcher les influences indésirables sur le traitement correct et unique. Ceci peut être obtenu par une approche professionnelle des spécialistes qui évaluent chaque cas individuel, mais en conformité avec la pratique internationale et les standards juridiques les plus hauts.

Au où vous n’êtes pas sûr si vous traitez les informations à titre personnel conformément à la législation intérieure et européenne ou bien au contraire, si vous de l’autre côté et vous avez une suspicion que vos informations sont traitées de manière illégale, n’hésitez pas à vous adresser à nous. »