Hébergement de données de santé et consentement du patient. A l’heure où un récent sondage (1) nous apprend que près d’un dossier pharmaceutique (DP) et d’un dossier médical personnel (DMP) sur deux sont créés sans recueil préalable du consentement du patient, ce court article sur la portée de cette obligation non respectée pourra sans doute trouver lecteurs…
L’alinéa premier de l’article L. 1111-8 du Code de la santé publique (CSP) a très tôt posé le principe (2) : l’hébergement de données de santé à caractère personnel ne peut avoir lieu qu’avec le consentement exprès de la personne qu’elles concernent. La lettre du texte ne laisse donc pas place à ambiguïté, le consentement du patient doit être préalable à l’hébergement, sans quoi ce traitement ne peut être opéré.
S’agissant d’un consentement exprès, le professionnel ou l’établissement de santé qui le recueille doit veiller à ce qu’il soit formalisé (écrit ou exprimé par voie électronique) à des fins de preuve. C’est en effet à cinq ans d’emprisonnement et 300 000 € d’amende que s’expose le professionnel de santé qui procède à la conservation en mémoire informatisée des données de santé d’un patient dont il n’a pas préalablement recueilli le consentement (3) ou qui ne pourrait rapporter la preuve du consentement préalable de son patient.
L’alinéa 2 du même article a précisé la portée du consentement qu’il convient de recueillir : le patient doit consentir au principe de l’hébergement, mais aussi aux modalités d’accès à ses données et à leurs modalités de transmission. De la portée du consentement du patient à recueillir découlent :
- une obligation d’information, à la charge du professionnel ou de l’établissement de santé, portant sur les modalités d’accès du patient à ses données et sur leurs modalités de transmission, préalable au recueil et
- d’autres caractéristiques au consentement que celles d’être préalable et exprès : il doit être libre et éclairé
Une exception à ce principe, dont le non-respect est passible de si lourdes sanctions, a cependant été introduite (4), il s’agit de l’hypothèse de l’absence de partage des données : si seul le professionnel ou l’établissement auprès duquel le patient a déposé ses données y accède, le recueil du consentement exprès du patient à l’hébergement de ses données n’est plus obligatoire. Reste cependant et en toutes circonstances, pour le professionnel ou l’établissement de santé, à respecter les droits des patients, tels que résultant des dispositions de la loi Informatique et libertés (5).
(1) CISS, Sondage LH2 du 1-2-2012 et TIC Santé, article du 9-3-2012
(2) Loi n° 2002-303 du 4-3-2002
(3) Code pénal, art. 226-19
(4) CSP, art. L1111-8 al.5, issu de la loi n° 2007-117 du 30-1-2007, art. 25 et FAQ ASIP Santé Q2
(5) Loi n° 78-17 du 6-1-1978 modifiée