#

Protection des données santé : responsabilité partagée

La divulgation ou la consultation de données de santé par une personne non autorisée peut entraîner un grave préjudice et des sanctions. Au CHU d’Angers, une commission de contrôle des accès au système informatique garantit le respect de ce fondement éthique.

Le Pr Marc-Antoine Custaud, responsable du collège de l’information médicale et de la commission de contrôle des accès au système informatique du CHU d’Angers revient sur les règles et les contrôles aléatoire mis en place pour garantir le respect de ce fondement éthique essentiel.

« Le droit d’accès au dossier d’un patient n’est pas un droit à la curiosité »

La question des données a-t-elle changé avec le dossier médical informatisé ?

Bien sûr, d’un côté le dossier médical informatisé est un outil formidable, qui facilite pour les soignants l’accès aux informations nécessaires à la prise en charge d’un patient. Mais il s’accompagne aussi d’un risque accru de consultation non autorisée. Le Règlement Général sur la Protection des Données (RGDP) de portée européenne, nous a amenés à revoir nos procédures de contrôle d’accès.

Pouvez-vous en rappeler les règles ?

C’est très simple : pour pouvoir consulter le dossier d’un patient il faut être explicitement dans une relation de soin avec lui. Sinon nous n’en avons pas le droit. Nous pouvons distinguer schématiquement 3 situations :

  • j’ai le droit de consulter le dossier médical informatisé du patient uniquement s’il existe une relation de soin directe avec lui.
  • S’il m’est nécessaire de consulter le dossier médical informatisé d’un patient pour donner un avis sollicité par des collègues dans le cadre de sa prise en charge, je peux le faire mais je dois tracer informatiquement cet avis.
  • Je n’ai pas le droit de consulter le dossier médical informatisé dès lors que je ne suis pas dans le cadre d’une relation de soin directe : par simple curiosité (personnalité connue, entourage), pour rendre service car on me demande des résultats (imagerie, biologie)…

Que risque-t-on en cas de consultation illicite ?

Il faut prendre conscience que c’est un acte grave, lié au respect d’autrui. C’est pourquoi tout manquement est sévèrement réprimé par la loi. La violation du secret médical et des règles de confidentialité des données constitue une faute professionnelle passible d’une procédure disciplinaire et d’un dépôt de plainte auprès du procureur pour une procédure pénale, assorti d’un risque d’amende de 15 000 à 45 000 euros et/ou d’une peine d’emprisonnement d’un à trois ans.

Pourquoi en reparler aujourd’hui ?

Parce que le CHU d’Angers vient de mettre en place une Commission de Contrôle des Accès au système informatique, en réponse à son obligation règlementaire de prouver que ces données sont sécurisées et consultées uniquement dans un cadre licite. Nous voulons faire savoir à l’ensemble des personnels hospitaliers que cette commission va effectuer des contrôles aléatoires, en s’appuyant sur la traçabilité des connexions enregistrées dans le dossier des patients. Nous espérons que cela alertera efficacement la communauté hospitalière sur l’importance du respect strict des règles de consultation du dossier médical.

En quoi consiste cette commission ?

Elle a été créée durant l’été 2019, à l’initiative de la direction générale et du président de la Commission Médicale d’Établissement qui l’ont missionnée pour mettre en place les procédures internes et effectuer les contrôles. Elle se compose d’une dizaine de membres, représentants des personnels soignants et administratifs. Elle commencera les contrôles aléatoires prochainement.

Cette commission a-t-elle d’autres missions que le contrôle ?

Oui, elle fonctionne en lien avec le collège de l’information médicale, qui travaille sur l’ensemble des bases de données liées aux activités de santé et de recherche. Ce collège délivre des informations générales sur l’utilisation des données, et la commission peut intervenir de façon plus spécifique pour étudier les cas particuliers (plaintes ou signalements provenant de patients ou de personnels hospitaliers).

Comment faire si une activité de recherche nécessite des données médicales ?

L’utilisation des données de santé est permise pour des protocoles de recherche déclarés et autorisés, à condition que le patient ne s’y soit pas opposé. La mise en place de bases de données anonymisées (là aussi après accord du patient) avec le projet e-Hop limitera le risque de l’utilisation de ces données qui sont non identifiantes.

PARTAGER

|

|