Vous êtes dans : Accueil > Tribunes libres >

Habilitations d’accès aux données médicales à l’ère des GHT - Vision juridique

Marguerite Brac de La Perrière, MARDI 11 AVRIL 2023

Quand le brillant RSSI et DPO Cédric Cartau et moi-même décrochons notre téléphone en pleine journée pour nous appeler, c’est qu’un « serpent de mer » technico-juridique nous travaille. Le dernier en date : les droits d’habilitation au Dossier Patient Informatisé (DPI), et ce, dans le contexte d’un article de presse[1] annonçant les mesures prises par l’APHP « la mise en œuvre d’un système de surveillance du mode « bris de glace » afin de contrôler et d’identifier les accès illégitimes ». Dans un premier volet, la vision technique et opérationnelle a donc été présentée[2]. Ce deuxième volet vise à présenter le cadre juridique. Que disent les textes ?

Tout d’abord, l’accès au DPI, que ce soit pour lecture, modification, suppression, ou même administration, paramétrage, sauvegarde, constitue un traitement de données personnelles au sens du RGPD, de données de santé.

En ce sens, le traitement doit être fondé sur une double base de licéité, en l’espèce dans le contexte de l’accès au DPI, d’une part « respect d’une obligation légale » ou nécessité « à l’exécution d’une mission d’intérêt public », et d’autre part « la prise en charge sanitaire », et, notamment, « être traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite (.) à l’aide de mesures techniques ou organisationnelles appropriées ».

Il en résulte une obligation pour le responsable de traitement de satisfaire à ces exigences, notamment aux fins de garantir le secret médical[3] au sens de l’article L1110-4 du Code de la Santé Publique : « Toute personne prise en charge par un professionnel de santé, un établissement ou service, un professionnel ou organisme concourant à la prévention ou aux soins (.) a droit au respect de sa vie privée et du secret des informations la concernant. », lequel s'impose à tous les professionnels intervenant dans le système de santé.

Pour autant, le secret médical ne saurait bien sûr faire obstacle à la bonne prise en charge du patient, et donc à l’échange ou du partage d’informations par un professionnels avec d’autres, identifiés, « à condition qu'ils participent tous à sa prise en charge et que ces informations soient strictement nécessaires à la coordination ou à la continuité des soins, à la prévention ou à son suivi médico-social et social. ».

Pour mémoire, « Ces informations sont réputées confiées par la personne à l'ensemble de l'équipe de soins », étant rappelé que la loi de modernisation de notre système de santé de 2016[4] a très largement étendu la notion :

« L'équipe de soins est un ensemble de professionnels qui participent directement au profit d'un même patient à la réalisation d'un acte diagnostique, thérapeutique, de compensation du handicap, de soulagement de la douleur ou de prévention de perte d'autonomie, ou aux actions nécessaires à la coordination de plusieurs de ces actes, et qui :

1° Soit exercent dans le même établissement de santé, au sein du service de santé des armées, dans le même établissement ou service social ou médico-social mentionné au I de l'article L. 312-1 du code de l'action sociale et des familles ou dans le cadre d'une structure de coopération, d'exercice partagé ou de coordination sanitaire ou médico-sociale figurant sur une liste fixée par décret ;

2° Soit se sont vu reconnaître la qualité de membre de l'équipe de soins par le patient qui s'adresse à eux pour la réalisation des consultations et des actes prescrits par un médecin auquel il a confié sa prise en charge ;

3° Soit exercent dans un ensemble, comprenant au moins un professionnel de santé, présentant une organisation formalisée et des pratiques conformes à un cahier des charges fixé par un arrêté du ministre chargé de la santé. »[5]

Or, les dispositions réglementaires prises en application des dispositions susvisées visent expressément les Groupements Hospitaliers de Territoire comme relevant du 1° ci-dessus, et donc constituant une équipe de soins[6].

Ainsi, si l’appartenance à l’équipe de soins impacte le régime applicable puisque le partage d’informations peut intervenir en son sein sans consentement du patient mais après information (et sauf opposition), pour autant elle ne constitue pas le critère discriminant pour déterminer si un accès est légitime ou non.

Le critère discriminant est double : la participation à la prise en charge et la nécessité d’accéder aux données pour ce faire.

Et bien sûr, ce critère est évolutif, un patient ayant vocation à être pris en charge par différents services et professionnels dans le cadre de son parcours.

Dès lors, le maître mot ou la mesure organisationnelle appropriée, au sens de l’article 32 du RGPD, à mettre en œuvre par le responsable de traitement devient la gestion des habilitations : « l’un des éléments indispensables de la chaîne qui protège le SI contre les dysfonctionnements d’origine humaine, les utilisations illégitimes, les détournements d’usages, la corruption, la perte ou la divulgation de données. Il apparaît clairement qu’une défaillance dans la gestion des habilitations peut avoir des conséquences graves. »[7] Ainsi, les processus de gestion des habilitations doivent[8] :

- appliquer le principe du moindre privilège, c’est-à-dire attribuer à chaque acteur du SI (utilisateur ou composant technique du SI) les habilitations nécessaires à la réalisation des tâches qui lui sont confiées et uniquement celles-ci ;

- intégrer des étapes permettant de vérifier l’attribution des bonnes habilitations au bon acteur et de détecter les anomalies ;

- prendre en compte les arrivées, départs et changements de fonction des personnels et intervenants, permanents ou temporaires, amenés à accéder au SI ou à certains de ses composants ;

- être gérés et pilotés de manière consolidée, notamment quand des moyens de gestion des habilitations différents sont utilisés pour les habilitations à différentes ressources du SI, voire de la structure en général (par exemple pour les accès physiques aux locaux, au SI, aux systèmes d’infrastructure divers) ;

- mettre à la disposition des responsables de traitement les moyens de vérifier à tout moment qui possède quelles habilitations pour les traitements et données dont ils ont la charge.

Parmi les impératifs de disponibilité, intégrité et confidentialité, celui de disponibilité apparaît comme primordial, en ce qu’il constitue le prérequis d’une prise en charge efficiente.

Couplé avec l’exigence de traçabilité, nécessaire au contrôle d’accès, il consiste à date, de manière opérationnelle, à l’approche « bris de glace » et ses contrôles associés. En effet, cette approche assure l’accès au DPI à tous les professionnels pour lesquels il est nécessaire, mais limite les risques d’abus du fait du caractère dissuasif de l’information sur les contrôles (même si nécessairement aléatoires et non exhaustifs) mis en œuvre, et risques de sanctions, y compris pénales.

C’est la recommandation de la Cnil, telle que rapportée par un récent document de la CME de l’APHP[9], indiquant : « La fonctionnalité « bris de glace » et la fonctionnalité « Demande d’avis » ont fait l’objet d’une mise à jour. L’usage du mode bris de glace doit demeurer exceptionnel et en aucun cas être utilisé « par défaut ». Le motif d’utilisation sélectionné dans le menu déroulant doit être pertinent et adapté à la situation qui justifie l’accès dérogatoire au dossier patient concerné via ce mode. Un système de surveillance est mis en place. Tout accès illégitime aux données de santé pourra faire l’objet de sanctions, disciplinaires et/ou pénales ».

Rappelons en effet que la violation de la confidentialité constitue une violation de données au sens du RGPD, et une violation du secret médical pénalement sanctionnée ; les sanctions y afférentes étant encourues à la fois par l’indélicat mais aussi par le responsable de traitement.

Auteur

Marguerite Brac de La Perrière, Avocate Associée, IT / Data, Santé numérique.mbracdelaperriere@lerins.com