La protection de la vie privée et des données personnelles est un grand crédo de notre époque. Depuis que le RGPD (Règlement général européen sur la protection des données à caractère personnel) est entré en vigueur, le 25 mai 2018, et que les premières sanctions de la CNIL sont tombées à l’encontre de ceux qui ne le respectent pas, on nous rebat les oreilles avec cette protection qui est de toute manière illusoire au royaume de l’internet. Par ailleurs, dans des circonstances aussi pénibles que l’hospitalisation, la protection des données et le secret professionnels sont la dernière préoccupation du patient lambda (pour les « People », c’est autre chose).
J’imagine déjà le poil de certains lecteurs se hérisser. Rassurez-vous. Je n’encourage pas les personnels hospitaliers que je forme à violer le secret professionnel et à publier le dossier médical ou social des patients sur Facebook ! Mais je souhaite vous donner ici quelques éléments de relativisation du dogme du secret et de la protection des données, afin que l’excès de prudence ne vous complique pas trop la tâche et nuise, in fine, au patient.
D’abord, sachez que la plupart des sanctions infligées par la CNIL au titre du non-respect du RGPD ont une origine informatique. Or, en cette matière, les hôpitaux, même ceux qui disposent d’un service dédié, sont des cibles fragiles. Déjà en 2016, Cedric Cartau, responsable sécurité des systèmes d’information au Centre hospitalier universitaire (CHU) de Nantes et Pays de la Loire, confiait au Monde : « Il y a environ mille hôpitaux en France, mais à peine cinquante responsables sécurité des systèmes d’information. La situation n’est pas plus enviable dans les structures privées, et c’est encore pire dans le médico-social. Dans 95 % des cas, il n’y a personne pour se préoccuper de sécurité informatique. » Mes nombreuses interventions en établissement hospitalier me permettent de confirmer ce diagnostic : la protection est incomplète, généralement parce que l’utilisateur final n’est pas sensibilisé et encore moins formé aux « bonnes pratiques ». Cela nous a d’ailleurs conduits à réaliser un Mooc pour y remédier rapidement, et à moindres frais. Mais c’est l’hôpital lui-même, le groupement hospitalier ou la fonction publique hospitalière qui doivent rendre des comptes pour ne pas avoir su protéger les données des patients, et non les agents publics eux-mêmes, du moins s’ils n’ont pas commis de fautes à l’origine du problème.
Ensuite, la loi santé de 26 janvier 2016 a traduit en droit ce qui se pratiquait depuis toujours dans les hôpitaux : une coopération entre professionnels de santé et autres acteurs intervenant pour le compte du patient, à l’intérieur ou à l’extérieur de l’hôpital : assistants de service social, MJMP, psychologues, professionnels de l’aide à la personne…, désormais regroupés sous la bannière « équipe de soins ». Sauf que les décrets pris pour encadrer ce « secret partagé », s’ils partent de la bonne intention de protéger la vie privée du patient, sont quasi inapplicables sur le terrain, voire incompréhensibles, tant leur rédaction est confuse et alambiquée : entre les hypothèses où le patient doit être informé avec possibilité de s’y opposer (utopique en pratique) et celles où il doit donner son accord formel, il y a de quoi perdre son latin, et surtout patience quand on est médecin ou assistante sociale au chevet du patient, et qu’on a autre chose à faire qu’étudier le Code de la Santé publique avant chaque démarche.
Ayant pris conscience de l’absurdité de leur sur-règlementation, les pouvoirs publics avaient pris un arrêté, le 25 novembre 2016, disposant qu’« elle (l’équipe de soins) n'implique pas une modification des pratiques professionnelles. Elle a au contraire vocation à être suffisamment souple pour permettre l'échange et le partage des données de santé dans le respect des droits des personnes concernées, entre des professionnels agissant au bénéfice d'une même personne, ne relevant pas uniquement du secteur sanitaire et pouvant intervenir en dehors des murs de l'hôpital. »
Donc, en gros, ne changez rien ! C’était bien la peine de pondre tant de textes pour en arriver à cela. Sauf que la simplification n’est que relative, car l’arrêté n’a pas vocation à annuler les décrets et que le RGPD, postérieur à ces textes, leur est supérieur.
La morale de l’histoire est que si vous partagez des informations dans l’intérêt du patient, qu’il en est avisé (si cela est possible) et que le destinataire de l’information est (autant que faire se peut) astreint au secret, vous ne risquez rien, ou presque (en théorie, on reste toujours quelque chose !). Cela ne signifie pas pour autant qu’on peut faire n’importe quoi, à fortiori si les dossiers sont numérisés. C’est bien connu : les paroles s’envolent et les écrits restent. Quant aux données numériques : un clic et elles sont transmises, volées, effacées, publiées…
Avec le RGPD, on cherche parfois à vous faire peur en oubliant de vous dire qu’il n’exige pas toujours le consentement de l’intéressé, a fortiori dans le cadre d’une prise en charge sanitaire. Certes, le patient peut refuser tout traitement de ses données à caractère personnel. Mais alors, qu’il aille se faire soigner ailleurs ! Formulée ainsi, l’injonction semble brutale, mais c’est à cela qu’on en arriverait.
Enfin, et je ne le dirai jamais assez : blindez-vous sur le plan informatique. Un professionnel qui viole le secret, c’est rare et relève du cas isolé. Des milliers de dossiers numériques dans la nature (ou un seul, s’il s’agit d’une célébrité), ce serait (et ça a déjà été) une tout autre histoire.
Raymond Taube
Fondateur de l’IDP & Rédacteur en chef de opinion-internationale.com