La transmission de données médicales via Internet

Par Nicolas Loubry, Juriste en Droit de la Santé.


S'ils utilisent un ordinateur pour la gestion de leur fichier de patients, les médecins doivent faire une déclaration à la CNIL. Celle-ci est garante du respect des libertés individuelles et de la vie privée, notamment lorsque les traitements informatisés concernent des données nominatives, c'est-à-dire permettant d'identifier des personnes. La gestion informatisée des dossiers médicaux ainsi que les échanges électroniques de données médicales entrent dans le champ de la loi et sont protégés par le secret médical selon les règles du code pénal et du code de déontologie médicale.
La confidentialité des données

La transmission, par Internet, de données médicales entre confrères concernant un patient est déconseillée sauf si les données sont cryptées, c'est-à-dire codées par un système de clés qui les rend illisibles par tout tiers susceptible d'intercepter des messages.
La transmission de résultats d'analyses ou de résultats d'examens complémentaires et d'une manière générale toutes les informations circulantes sur les réseaux, relatives à des données personnelles, doivent être préalablement cryptées et donc sécurisées.
Tout médecin est en effet responsable des informations qu'il transmet lesquelles ne doivent pas être interceptées par un tiers.
La responsabilité

Le code pénal punit sévèrement (peines de prison et d'amende) toute violation du secret professionnel et en particulier la révélation d'une information à caractère secret par une personne qui en est dépositaire où qui n'aurait pas pris les précautions utiles pour préserver la sécurité de ces données et ainsi empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.
La responsabilité civile mais également disciplinaire du médecin pourrait aussi être recherchée pour rupture du secret médical. L'article 73 du code de déontologie rappelle que « le médecin doit protéger contre toute indiscrétion les documents médicaux concernant les personnes qu'il a soignées ou examinées, quels que soient le contenu et le support de ces documents. Il en va de même des informations médicales dont il peut être le détenteur ».
Gestion des dossiers médicaux

Pour les sites consacrés aux projets de gestion des dossiers médicaux, la CNIL a recommandé que soit interdite par la loi toute exploitation des données médicales à des fins commerciales dès l'instant où elles sont associées à l'identification des personnes. La loi du 4 mars 2002 sur les droits des malades et la qualité du système de santé a d'ailleurs prévu que les hébergeurs de données de santé ne puissent utiliser ces données à d'autres fins que la gestion des dossiers médicaux pour le compte des personnes qui leur ont confié ces données.
Un contrat, obligatoire sur le plan déontologique, doit être signé et communiqué à l'Ordre avec la société de services informatiques, si celle-ci fournit des prestations informatiques en échange de la fourniture de données ou avec le réseau de soins ou l'hébergeur de données qui va gérer les dossiers médicaux.
L'accès des médecins au dossier médical doit être sécurisé (utilisation de codes d'accès et de mots de passe, engagement des responsables de réseaux de ne pas utiliser les informations à des fins commerciales, consentement des patients à la création d'un tel dossier...). Si l'accès direct du malade à son dossier médical sur Internet peut être envisagé, cet accès se heurte à deux difficultés. La première a trait au risque que pourrait comporter la révélation, sans précaution, d'un diagnostic ou d'un pronostic graves. La seconde difficulté a trait au risque toujours possible d'un détournement de cet accès direct si le destinataire des informations n'est pas correctement identifié.
En tout état de cause, le médecin engage sa responsabilité dans la tenue d'un dossier informatisé, par les informations qu'il y fait figurer et par sa signature attestant de la bonne traçabilité des informations recueillies ou fournies.