La notion de donnée de santé
Le RGPD désigne les données de santé comme les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé , qui révèlent des informations sur l’état de santé de cette personne. A ce titre, elles font partie des données sensibles.
Cette notion couvre ainsi toutes les données qui présentent un lien clair et étroit avec la description de l’état de santé d’une personne, y sont inclus les données sur la consommation de médicaments, d’alcool ou de drogue… en particulier si elles sont consignées dans un dossier médical ou encore les traitements de la personne concernée.
Elles peuvent donc être produites à l’occasion des activités de prévention, de diagnostic ou de soins.
Le cadre législatif de l’exercice du droit d’accès aux données de santé.
L’exercice du droit d‘accès aux données de santé est prévu par le droit interne et le droit européen. Le RGPD ne précisant pas expressément les modalités de procédure relative à l’accès aux données de santé, il est donc nécessaire de se référer au code de la santé publique.
Étape liminaire: l’information de la personne
L’étape préalable à tout exercice de droit d’accès est l’information à la personne concernée de l'existence du traitement. L’information permet à la personne de conserver la maîtrise des données la concernant et de connaître les modalités d’exercice de ses droits.
Le responsable de traitement doit donc prendre les mesures appropriées pour informer les personnes concernées par un traitement.
Dans le cadre de données de santé l’information doit donc être délivrée de façon concise, transparente, compréhensible et aisément accessible. Elle doit aussi être adaptée à la pathologie ou a à l'âge du patient. Le support de cette information est libre elle peut se faire par voie d’affichage ou par la remise d’un document spécifique (exemple : dépliant remis au patient ou mis à disposition dans la salle d’attente).
Il existe des hypothèses où le responsable de traitement peut être dispensé d’informer la personne concernée. Les cas de dispense dépendent des modalités de collecte des données. Par exemple, si les données ont été collectées indirectement une dispense d’information peut être autorisée si la fourniture de l'information se révèle impossible ou exigerait des efforts disproportionnés.
La procédure de gestion d’une demande de droit d’accès
Les étapes préalables
Une procédure de demande d’accès peut être déclenchée par divers moyens :
- soit par la transmission d’un formulaire papier ou numérique d'exercice de droit d’accès au responsable de traitement
- soit par un contact direct avec le responsable de traitement
- soit lors d’une consultation…
Pour traiter correctement une demande d’accès aux données de santé, il est nécessaire de contrôler préalablement l’identité du demandeur. Ce dernier peut justifier son identité par tous les moyens possibles. Cependant la demande d’une pièce d’identité pour certifier l’identité d’un demandeur est interdite sauf en cas de doutes raisonnables sur la personne.
Ensuite il peut être nécessaire de se pencher sur le type de données concernées par le demande. S’agit-il de l’entièreté du dossier patient ou uniquement de données particulières? Si des précisions sont nécessaires quant à l’échantillon de données il faudra revenir vers le demandeur.
Enfin il faudra également contrôler si la demande n’est pas exercée par un tiers. Car dans cette hypothèse, la demande devra respecter le droit de ces derniers. Ainsi, l’organisme doit permettre un accès aux seules données dont la communication ne porte pas une atteinte disproportionnée aux droits d’autrui (ex : vie privée dans le cadre des données de santé)
Une fois ces étapes de vérification passée la demande pourra commencer à être traitée en interne.
Traitement interne de la demande d’accès.
Comment traiter efficacement une demande d’accès aux données de santé ?
Premièrement il est d’abord nécessaire d’analyser si une demande d'accès a déjà été initiée ou achevée. Dans l’hypothèse d’une procédure en cours, il faudra donc répondre dans les délais au patient qu’une demande de droit est déjà en train d'être traitée.
Si une procédure est achevée alors il faudra analyser si des éléments nouveaux ont été ajoutés depuis la fin de la procédure. Si aucun élément n'a été ajouté alors il faudra le rapporter au patient a l’inverse si des éléments ont été rajoutés il faudra donc réinitier une procédure d'accès.
Mais dans ces hypothèses le responsable de traitement peut aussi se réserver le droit de refuser l'accès aux données si il considère que la demande est excessive au regard d'une répétition importante de procédure initiée dans un court laps de temps.
Ensuite lorsque la demande est faite via un formulaire pré-rempli ce dernier doit respecter des conditions de forme et être complété correctement. Si des informations sont illisibles, incompréhensibles ou manquantes le responsable de traitement doit revenir vers le demandeur.
En conclusion si le formulaire est correct et qu’aucune procédure de demande est en cours alors les données pourront être transmises au demandeur.
Concernant les modalités de cette transmission, celle-ci s’organise en fonction de la taille du cabinet, du service ou de l’organisme. Certains organismes de santé vont faire le choix d’utiliser des mécanismes de notification via médecin désigné par le demandeur et d’autres vont simplement s’organiser autour du DPO.
L’envoi des données au demandeur
Les données peuvent être communiquées :
- par voie postale avec accusé de réception
- par voie électronique à moins que la personne concernée souhaite autrement.
- via clé USB remise ou envoyée au demandeur. Dans cette hypothèse des mesures appropriées (chiffrage) doivent être prises pour protéger les données contenues sur ce support, en particulier s’il s’agit de données sensibles
Le plus important est que la transmission de ces données soit sécurisée.
Concernant le délai. Pour tout type de données le RGPD prévoit un délai de 1 mois maximum pour une demande simple et de 3 mois maximum pour une demande complexe. Cependant dans le cadre d’une demande de données de santé les délais sont différents. En effet le code de santé publique lui prévoit un délai limité à 8 jours et porté à 2 mois lorsque les informations datent de plus de 5 ans.
Enfin concernant le paiement des copies. Le RGPD prévoit un principe de gratuité pour les copies fournies dans le cadre d’une demande d’accès (article 12.5). Ainsi le paiement de « frais raisonnables basés sur les coûts administratifs » est possible que :
- pour toute copie supplémentaire demandée par la personne concernée ;
- si la demande est manifestement infondée ou excessive
Alors que le Code de de la Santé Publique prévoit lui que lorsque le demandeur souhaite la délivrance de copies, quel qu'en soit le support, les frais sont à sa charge mais ne peuvent excéder le coût de la reproduction et, le cas échéant, de l'envoi des documents.
Ainsi il y a ici une difficulté d’articulation entre les dispositions du code de la santé publique et le règlement général sur la protection des données. Dans l’attente d’une clarification législative précise la CADA (Commission d'accès aux documents administratifs) suggère de ne pas facturer la communication de la première copie du dossier médical.
L’hypothèse particulière du patient décédé
Concernant la demande d’accès aux données de santé d’une personne décédée, celle-ci est possible seulement si la personne décédée ne s’y était pas opposée de son vivant. La caractérisation du refus ne doit pas nécessairement prendre la forme d’un écrit mais peut être constatée par la présence d'éléments précis et concrets (exemple : refus exprimé auprès du médecin traitant).
Seule une liste limitée de proches peuvent accéder à ces données parmi eux :
- les ayants-droits ( héritiers légaux ou testamentaires)
- le partenaire lié par un pacte civil de solidarité.
De plus la demande doit être expressément fondée sur un ou plusieurs des trois motifs prévus par l’article L. 1110-4 du code de la santé publique. C'est à dire qu'elle doit être nécessaire :
- pour connaître les causes de la mort
- pour défendre la mémoire du défunt
- pour faire valoir ses droits.
Cependant le médecin ou le responsable de traitement n’est pas tenu de communiquer toutes les données de patient décédé. Il doit se limiter aux informations nécessaires à la réalisation de l’objectif poursuivi par le demandeur.
Avec Dastra, vous avez la possibilité de piloter les demandes d'exercice de droit d'accès, notamment les demandes RGPD et les demandes qui relèvent du code de la santé publique (dossier médical).
Automatisez la gestion des demandes d'exercice des droits et respectez sans effort les délais règlementaires grâce à Dastra .