Une revue spécialisée soulignait récemment la mobilisation « à l’arrière du front » des cadres exerçant une fonction transversale dans les hôpitaux.
Au-delà de la logistique, il y a évidemment l’informatique. Les DSI font preuve d’audace pour soulager les soignants en leur proposant de nouveaux services numériques pour mieux gérer la crise du Covid-19 et sont parfois dans l’obligation de contourner l’obligation de conformité au RGPD. Comme le disait une consœur du cabinet récemment, « L’urgence et l’impérieuse nécessité de répondre par des moyens exceptionnels à la crise sanitaire légitiment nombre d’entorses au droit ».
S’agissant des activités de traitement, les hôpitaux ont une culture du consentement. Pour autant, nous attirons leur attention sur le considérant 46 du RGPD.
La crise est le bon moment pour fonder les traitements, lorsque cela est possible, sur deux bases légales : l’intérêt vital et l’intérêt public.

En effet, le considérant 46 précise : « Certains types de traitement peuvent être justifiés à la fois par des motifs importants d’intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation, ou dans les cas d’urgence humanitaire, notamment les situations de catastrophe naturelle et d’origine humaine. ».

D’abord nous pouvons préciser que si la loi ‘Informatique et Libertés’ limitait la base légale de l’intérêt vital à la personne concernée, le RGPD a renforcé ce fondement juridique en visant non seulement la personne concernée mais également toute autre personne physique.

Ensuite, dans le contexte actuel, nous vous conseillons d’éviter le consentement du patient qui risque d’être vicié compte tenu de sa vulnérabilité et qui impose des contraintes en termes de recueil et de retrait du consentement.

Privilégiez en ce moment la base légale de la sauvegarde de la vie à celle du consentement, que ce soit pour de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé !

Par ailleurs, le cumul de bases légales est possible et il convient de noter que même si la base légale de l’intérêt public est naturellement plus pertinente pour les établissements publics de santé, selon l’ex-G29, ce fondement « peut être utilisé par un responsable de traitement appartenant indistinctement au secteur public ou au secteur privé ».

Pour cela, la structure privée doit pouvoir démontrer qu’elle est investie d’une mission de service public : la montée en puissance des hôpitaux privés ou des CPTS dans la lutte contre le coronavirus est inévitable au vu de la propagation du virus !

C’est l’occasion aujourd’hui d’expliquer pourquoi les traitements fondés sur le consentement ne sont pas forcément les plus adaptés en milieu hospitalier…

Trois notions à ne pas confondre

Le consentement, base légale d’un traitement de données

Le consentement est l’un des six fondements juridiques (ou bases légales) justifiant la licéité du traitement de données (ce qui autorise légalement sa mise en œuvre).

La base légale du consentement peut d’ailleurs être cumulée avec d’autres bases de licéité pour le même traitement. En effet, lorsqu’un même traitement poursuit plusieurs finalités, c’est-à-dire plusieurs objectifs, une base légale doit être définie pour chacune de ces finalités.

En revanche, plusieurs bases légales ne peuvent être cumulées pour une même finalité.

Ces bases légales n’auront pas les mêmes conséquences sur les droits des patients ou résidents dont les données sont traitées.

Il appartient au responsable de traitement (structure de soins, professionnel de santé, fournisseur de solution technique, …) de choisir la ou les base(s) légale(s).

Le consentement, exception au principe d’interdiction de traiter des données de santé

La donnée de santé, donnée particulière dite sensible et qui revêt aujourd’hui une dimension large, bénéficie d’un régime de protection renforcé fondé sur un principe d’interdiction de collecte ou de traitement.

Toutefois la poursuite d’objectifs légitimes de santé publique justifie des dérogations à ce principe d’interdiction.

C’est pourquoi il est possible de pallier cette interdiction pour un certain nombre d’exceptions prévues à l’article 9.2 du RGPD et à l’article 44 de la loi ‘informatique et libertés’.

Parmi ces exceptions, figurent le consentement explicite (en droit européen) ou exprès (en droit national) de la personne concernée, l’intérêt public et l’intérêt vital.

En effet, le traitement peut être nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, alors que la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement (article 9, 2-c du RGPD).

Le traitement peut être nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique. Le RGPD cite notamment l’exemple de la nécessité de protéger les menaces transfrontalières ou de garantir des normes élevées de qualité et de sécurité des soins (article 9, 2-i du RGPD).

Ou encore la personne concernée a donné son consentement explicite au traitement de ces données, pour une ou plusieurs finalités spécifiques (article 9, 2-a du RGPD).

Ainsi, par exemple, l’article L.1111-14 du Code de la santé publique (CSP) prévoit un consentement exprès du patient pour la création du dossier médical partagé (à partir du
1er juillet 2021, ce consentement ne sera d’ailleurs plus nécessaire).

Ce consentement « dérogatoire » se superpose à la base légale du consentement puisque le traitement de données de santé ne peut intervenir que si les deux conditions cumulatives sont remplies. Ainsi le traitement est fondé sur une des six bases légales et, d’autre part, une des exceptions mentionnées à l’article 9.2 du RGPD est applicable au traitement concerné.

En revanche, le consentement « dérogatoire » ou la base légale du consentement ne doivent pas être confondus avec le consentement requis pour la réalisation d’actes médicaux.

Le consentement aux traitements médicaux

Il convient en effet de dissocier le consentement pour le traitement de données du consentement aux soins, clé de voûte de la relation entre le patient et le professionnel de santé et « légitimation première de l’acte médical » (expression du Professeur Olivier Guillod en 2014), l’article L.1111-4 CSP précisant : « Aucun acte médical ni aucun traitement ne peut être pratiqué sans le consentement libre et éclairé de la personne et ce consentement peut être retiré à tout moment. ».

Ce consentement aux soins induit notamment l’obligation d’une information complète à la charge du professionnel de santé, la compréhension par le patient et la reconnaissance d’un droit au refus de soins.

Quatre critères de validité du consentement au traitement de données

La réglementation liée à la protection des données a renforcé les règles concernant le consentement.

Le considérant n° 33 du RGPD prévoit que le consentement doit « être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant ».

Le considérant n° 42 du RGPD précise également que « Lorsque le traitement est fondé sur le consentement de la personne concernée », la charge de la preuve incombe au responsable de traitement.

En effet le responsable de traitement doit pouvoir démontrer à tout moment que la personne concernée a donné son consentement, d’où la nécessité d’une traçabilité des actions autour du consentement. Cette démonstration du consentement doit être possible tant que l’activité perdure. En revanche, une fois l’activité de traitement terminée, la preuve du consentement ne doit pas être conservée plus longtemps que strictement nécessaire pour respecter une obligation légale ou le temps d’un contentieux.

Enfin le considérant n° 43 du RGPD met en garde sur le « déséquilibre manifeste entre la personne concernée et le responsable du traitement, en particulier lorsque le responsable du traitement est une autorité publique et qu’il est improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette situation particulière. ».

Notons à ce sujet que, d’une part, la CNIL considère que le patient peut être considéré comme une personne vulnérable à l’instar d’une personne âgée ou d’un enfant, ce qui peut vicier le consentement, et que, d’autre part, le considérant précité souligne le déséquilibre des rapports de force entre la personne concernée et le responsable du traitement lorsqu’il est une autorité publique, le RGPD ne faisant pas de distinction entre les autorités publiques au sens organique et les autorités publiques au sens fonctionnel, c’est-à-dire les personnes chargées d’une fonction administrative publique tels des établissements publics.

Par ailleurs le consentement ne peut pas être un simple accord présumé ou tacite utilisé. Le consentement préalable est un acte positif d’acceptation, en principe un acte explicite lorsqu’il s’agit de données sensibles. Trop souvent, des professionnels considèrent à tort que l’absence d’opposition laisse présumer un consentement.

Le consentement doit donc répondre à des conditions de fond (liberté et compréhension) et de forme (clarté et simplicité).

Le consentement n’est pas libre si la personne n’est pas en mesure de refuser ou retirer son consentement sans subir un préjudice. En effet, le consentement ne peut être ni contraint, ni influencé.

Le consentement n’est pas spécifique s’il est donné pour un groupe de traitements ayant des finalités distinctes. Le consentement est spécifique à une finalité déterminée, explicite et légitime ou à une finalité raisonnablement compatible avec la finalité initiale. Lorsque la base légale du traitement repose sur le consentement, l’exigence de compatibilité d’un traitement ultérieur avec la finalité initiale de la collecte des données devra être évidente. Si cette compatibilité nécessite une analyse formelle et matérielle plus approfondie, il est probable que les informations supplémentaires ne suffiront pas et que le recueil du consentement pour la nouvelle finalité sera nécessaire.

Le consentement n’est pas univoque si une case est cochée ou activée par défaut ou si le consentement, résultant d’une inactivité, est tacite. De même, n’est pas valable le consentement “groupé” ou global, c’est-à-dire un seul consentement demandé pour plusieurs traitements distincts.

Le consentement n’est pas éclairé si la personne n’est pas informée préalablement des caractéristiques du traitement.

In fine, compte tenu des exigences de validité du consentement, lorsqu’elle est choisie pour fonder un traitement de données, la base légale du consentement s’avère difficile à mettre en oeuvre dans un établissement sanitaire ou médico-social.

L’information du patient, une obligation incontournable

Le consentement, une base légale peu compatible avec les contraintes des établissements

Le consentement est parfois considéré comme une fiction ou un leurre…

« Dans l’univers actuel des données massives, le principe du consentement est moins évident en raison des multiples échanges qui interviennent bien au-delà de la collecte. » (audition du 26 novembre 2014 de Mme Falque-Pierrotin, présidente de la CNIL devant la Commission de réflexion et de propositions sur le droit et les libertés à l’âge numérique).

Ce constat trouve un écho particulier pour les établissements sanitaires et médico-sociaux dans un contexte de décloisonnement des systèmes d’informations.

De même, en 2016-2017, nous avons pu constater, par exemple, la disparition formelle du consentement à l’hébergement des données de santé. Autrefois l’hébergement des données hors de l’établissement ne pouvait avoir lieu qu’avec le consentement exprès de la personne concernée, ce qui était inapproprié.

En réalité, le consentement au traitement de données est difficilement invocable dans les établissements sanitaires et médico-sociaux.

C’est pourquoi le consentement ne peut pas être la base légale de principe d’autant que les données de santé sont particulièrement bien encadrées.

Par ailleurs, le droit au retrait ou à la révocation de son consentement peut être invoqué à tout moment, sans aucune justification (contrairement au droit à l’effacement ou au droit d’opposition) et sans rencontrer d’obstacle dans la mise en œuvre.

Si le consentement est retiré, le responsable de traitement doit supprimer les données concernées, sauf si une autre base juridique prédéfinie justifie une conservation pour une autre finalité. En effet, l’établissement ne pourra pas utiliser rétrospectivement une autre base juridique.

En revanche, ce qui est fondamental, c’est la bonne protection des données et la bonne information des patients ou résidents.

La protection des données de santé

Outre des règles déontologiques fortes et au-delà du Code civil qui protège la vie privée et du Code pénal qui réprime les manquements au secret médical, le Code de la santé publique fixe les limites du secret partagé, interdit la cession ou l’exploitation commerciale des données de santé, précise les conditions d’échange et de partage de ces données, prévoit des référentiels de sécurité et d’interopérabilité des données, définit les conditions pour héberger les données (certification HDS) ou mettre à disposition des données (Plateforme des données de santé), tout cela s’ajoutant bien-sûr au cadre général de la réglementation relative à la protection des données et aux méthodologies de référence de la CNIL qui en découlent.

S’agissant plus spécifiquement de la cybersécurité, le fonctionnaire de sécurité des systèmes d’information (FSSI) du ministère des solidarités et de la santé a rappelé récemment que les vulnérabilités proviennent :

de logiciels ou systèmes obsolètes ou non conformes,

de l’absence d’inventaire des différents systèmes d’information ou à tout le moins d’un manque de visibilité,

de contrôles insuffisants des systèmes périphériques,

d’un manque d’interopérabilité,

de protocoles de communication non sécurisés,

de complexités dues à des responsabilités trop diffuses.

La transparence ou l’information des patients ou résidents

De plus en plus, nous pouvons entendre que la condition du consentement est remplacée par une obligation d’information assortie d’un droit d’opposition du patient pour un motif légitime.

Pour autant, il ne faut pas opposer information des patients et consentement.

L’information des patients est systématique, quelle que soit la base légale choisie.

Elle est immédiate si les données sont collectées directement auprès de la personne concernée. En cas de collecte indirecte, l’information doit avoir lieu dans un délai raisonnable et au plus tard dans le délai d’un mois.

Et même si le consentement au traitement des données est recueilli, ce ne sera jamais une forme de blanc-seing qui permettra à un responsable de traitement de s’affranchir des règles conditionnant la licéité d’un traitement et l’information des patients.

L’information des patients est primordiale car les données personnelles doivent être traitées de manière licite, loyale et transparente envers le patient.

Le considérant 39 du RGPD précise que « le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples ».

Ce considérant ajoute que « Les personnes physiques devraient être informées des risques, règles, garanties et droits liés au traitement des données à caractère personnel et des modalités d’exercice de leurs droits en ce qui concerne ce traitement ».

Le patient doit être nécessairement informé de l’existence de l’opération de traitement et de toutes ses finalités. De surcroît, l’information qui lui est adressée doit être concise, aisément accessible, facile à comprendre, formulée en des termes clairs et simples.

Aussi le support utilisé pour informer la personne doit être adapté à l’âge ou à la capacité de compréhension de la personne en tenant compte de son âge, de sa vulnérabilité, de sa pathologie, de ses troubles cognitifs ou de l’état de ses connaissances : utilisation de pictogrammes visuels, surlignage des informations essentielles ou recours à la vidéo dans une salle d’attente par exemple. La voie d’affichage peut être privilégiée sauf lorsqu’il existe une obligation légale d’informer individuellement comme pour la recherche médicale. Ceci étant, l’affichage n’empêche pas une information individuelle complémentaire.

En outre, les mentions d’information et les procédures mises en place pour répondre aux droits des personnes doivent être intégrées dans la documentation de conformité de l’établissement (par exemple, livret d’accueil ou document d’information remis au patient par le service des admissions ou les secrétariats médicaux).

Les exceptions à l’obligation d’information

Lorsque les données sont collectées auprès de la personne concernée, l’information n’a pas à être renouvelée dans la mesure où la personne dispose déjà les informations (article 13.4 du RGPD) sauf bien-sûr s’il y a eu une modification substantielle du traitement.

Il n’y a pas de durée de validité du consentement même si un renouvellement à intervalle approprié peut être recommandé.

Lorsque les données n’ont pas été collectées auprès de la personne concernée, l’établissement peut déroger à l’obligation d’information lorsque la personne détient déjà les informations, ou lorsque la fourniture des informations se révèle impossible ou exigerait des efforts disproportionnés, ou lorsque la collecte est prévue par une autre disposition qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée, ou lorsque les données doivent rester confidentielles en vertu du secret professionnel (article 14.5 du RGPD). Jusqu’à présent, était interprétée de manière stricte, l’exception à l’obligation d’information en cas de collecte indirecte lorsque son exécution exige des efforts disproportionnés par rapport à l’intérêt de la démarche. Gageons que le contexte du coronavirus autorise une interprétation plus souple de cette exception !

Que les données aient été collectées directement ou indirectement, le droit national peut toujours limiter l’information dès lors que la limitation du droit à l’information est nécessaire et proportionnée pour garantir des objectifs d’intérêt public importants, notamment de santé publique, de protection sociale ou humanitaires (article 23 du RGPD).

Une exception à l’obligation d’information existe également s’agissant des mineurs.

En principe, malgré leur information spécifique et adaptée, les titulaires de l’autorité parentale sont également informés des traitements de données de santé portant sur l’enfant. Toutefois, les articles L1111-5 et L1111-5-1 du Code de la santé publique peuvent permettre à un enfant de refuser cette double information pour garder le secret sur son état de santé ou lorsque les liens de famille sont rompus.

En conclusion, la détermination des finalités et des bases de licéité qui en découlent, constitue une étape déterminante pour identifier les obligations du responsable du traitement ainsi que les droits des personnes concernées.

Nous l’avons dit, un même traitement peut revendiquer plusieurs bases de licéité. Mais il convient d’être précautionneux dans une situation de coexistence de bases. En effet, les obligations du responsable de traitement et les droits des personnes, peuvent différer pour chaque base retenue, d’où un risque possible de conséquences contradictoires.

Si vous fondez votre traitement sur le consentement, alors vous devez anticiper les conséquences d’un retrait de ce consentement.

Les opérations réalisées antérieurement sur la base du consentement demeureraient licites, mais si vous n’aviez pas prévu une autre base de licéité, alors vous devriez supprimer ou anonymiser les données de la personne concernée. Or ces données sont indispensables pour lutter contre la pandémie !

En revanche, si votre traitement est fondé sur la sauvegarde des personnes et/ou l’intérêt public, alors le retrait du consentement s’efface au profit d’un droit d’opposition.

Ce droit d’opposition ne s’exerce, non plus en présence de « motifs légitimes », mais pour des raisons tenant à la situation particulière du demandeur.

Le responsable de traitement peut continuer à traiter les données de la personne malgré son opposition, s’il est dans la capacité de démontrer qu’il existe des motifs légitimes et impérieux de continuer le traitement qui prévalent sur la situation de la personne concernée.

Il existe un principe constitutionnel de protection de la santé publique. Par ailleurs, le juge veille à ce que, dans sa dimension collective, le droit à la protection de la santé prime sur les droits individuels qu’ils soient civils et politiques ou sociaux.

https://hal-univ-paris10.archives-ouvertes.fr/hal-01674384/document

Le contexte du coronavirus justifie que des données de santé soient collectées par les autorités sanitaires ou les établissements de santé, malgré la possible opposition de patients, pour prendre les mesures adaptées à la situation ! La primauté doit être aujourd’hui accordée à la santé publique et non à la protection des données.