Santé : Dossier médical du patient et gouvernance de l’information (1)


S’il est bien un secteur dans lequel la dématérialisation représente une avancée significative dans la gestion des données et des contenus, c’est celui de la santé.

Mais c’est également, un des secteurs qui gèrent, véhiculent et utilisent des données très sensibles parce que personnelles.

La présentation de Philippe Eveillard vous permettra d’avoir un premier aperçu de la réalité du Dossier Médical du Patient.

A lire également (quoique moins récent) Médecine 2.0 du même auteur.

La protection des données personnelles


Le droit à la protection des données à caractère personnel est inscrit dans la charte des droits fondamentaux de l’Union européenne au titre des libertés fondamentales telles que la liberté de pensée, de conscience ou de religion, la liberté d’expression et d’information ou le respect de la vie privée et familiale, etc.

Toute organisation recueille quotidiennement des données à caractère personnel :
le cabinet de recrutement afin d’évaluer les capacités à occuper un poste, le service RH pour tenir à jour les dossiers du personnel, le conseiller clientèle que vous venez d’appeler pour une réclamation et qui a noté quelques informations ou encore le médecin et votre suivi médical qui lui également fait l’objet d’un traitement électronique.

La CNIL définit les données à caractère personnel comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement par référence à un numéro d’identification (par exemple le n° de sécurité sociale) ou par référence à un ou plusieurs éléments qui lui sont propres (par exemple les initiales du nom et du prénom) ou par recoupement d’informations du type : date de naissance, commune de résidence, éléments biométriques, etc. »

En France, la loi « Informatique et libertés »  donne aux personnes privées un droit de regard sur l’utilisation qui est faite de ces informations : c’est le droit d’accès. Elles peuvent ainsi savoir si un fichier comporte des informations personnelles sur elles, connaître lesquelles, en contrôler l’exactitude et lorsque c’est nécessaire, les faire rectifier, mettre à jour ou supprimer.

Le droit d’accès, qui est un droit strictement personnel, s’exerce selon deux modalités :

Le droit d’accès direct

Pour vérifier si elle est fichée ou pas, la personne doit directement s’adresser à la société ou à l’administration susceptible de conserver des informations sur vous. Cet organisme dispose d’un délai de deux mois maximum pour vous répondre. Ensuite, si l’organisme détient effectivement des données personnelles sur votre compte, elle peut accéder à leur intégralité.

Le droit d’accès indirect

C’est un régime particulier applicable à certains fichiers nationaux de souveraineté.
C’est le cas

  • des fichiers intéressant la sûreté de l’Etat, la défense et la sécurité publique (fichiers de police et de gendarmerie, fichiers de renseignement, fichier Schengen, etc.). Certains de ces fichiers sont consultés lors d’un recrutement, de l’agrément ou de l’habilitation de personnels de professions diverses ( surveillance, gardiennage, emplois dans des zones aéroportuaires, fonction publique…). Ils sont également consultés pour la délivrance ou le renouvellement de titres pour l’entrée et le séjour des étrangers.
  • Du fichier des comptes bancaires FICOBA, tenu par la direction générale des finances publiques, qui recense les ouvertures et les mouvements de comptes.

Dans ces cas précis, le droit d’accès s’exercera par l’intermédiaire d’un magistrat, membre de la CNIL qui ira contrôler le fichier au nom de la personne (accès indirect).

Naturellement, ces dispositions légales ont des conséquences importantes sur les processus de conservation des informations, d’anonymisation des données et la gestion des droits d’accès.

En savoir plus :
Le site de la CNIL
Le guide des droits d’accès en téléchargement
La loi fédérale suisse sur la protection des données et les dispositions quant au droit d’accès – Art. 8
Synthèse de la législation UE sur la protection des données à caractère personnel