L’hôpital Haga de La Haye (Pays-Bas) a jusqu’au 2 octobre pour mettre en place les moyens de sécurité adaptés pour protéger les données à caractère personnel, conformément aux exigences du RGPD.

En effet, environ 90 employés de l’hôpital avaient consulté le dossier médical d’une actrice de télé-réalité, Samantha de Jong, qui avait été hospitalisée suite à une tentative de suicide. Or ces employés n’avaient participé, ni de près, ni de loin, à la prise en charge de cette patiente !

Ces indélicatesses ont conduit l’homologue néerlandaise de la CNIL, l’Autoriteit Persoonsgegegevens,  à infliger une amende de 460.000€ à l’hôpital, en prévoyant des amendes supplémentaires de 100.000 euros toutes les deux semaines, dans la limite de 300.000 euros, pour le contraindre à agir rapidement !

L’article 32 du RGPD prévoit que l’hôpital, responsable de traitement, doit mettre en œuvre les mesures suivantes :

– la pseudonymisation et le chiffrement des données à caractère personnel ;

– des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

– des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;

– une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

En novembre 2017, la CNIL a mis cette plaquette d’information générale pour les établissements de santé.

https://www.cnil.fr/sites/default/files/atoms/files/rgpd_-_etablissements_de_sante.pdf

Nous pouvons rappeler également les conditions, en France, pour échanger ou partager des informations sur un patient.

L’article L. 1110-4, II du Code de la santé publique précise qu’« Un professionnel peut échanger avec un ou plusieurs professionnels identifiés des informations relatives à une même personne prise en charge, à condition qu’ils participent tous à sa prise en charge et que ces informations soient strictement nécessaires à la coordination ou à la continuité des soins, à la prévention ou à son suivi médico-social et social.».

Et l’article R. 1110-1 d’ajouter « Les professionnels participant à la prise en charge d’une même personne peuvent, en application de l’article L. 1110-4, échanger ou partager des informations relatives à la personne prise en charge dans la double limite :

1° Des seules informations strictement nécessaires à la coordination ou à la continuité des soins, à la prévention, ou au suivi médico-social et social de ladite personne ;

2° Du périmètre de leurs missions.».

Au sein de l’équipe de soins, le patient, qui doit être informé de ses droits, dispose notamment d’un droit d’opposition. Si l’équipe de soins bénéficie d’un accord implicite du patient, dès lors que les échanges et le partage d’informations sont opérés en dehors de l’équipe de soins, l’accord ne suffit plus, il faut un consentement du patient, autrement dit un acte exprès et non présumé !

La définition de l’équipe de soins est donnée par l’article L. 1110-12 du CSP :

« l’équipe de soins est un ensemble de professionnels qui participent directement au profit d’un même patient à la réalisation d’un acte diagnostique, thérapeutique, de compensation du handicap, de soulagement de la douleur ou de prévention de perte d’autonomie, ou aux actions nécessaires à la coordination de plusieurs de ces actes, et qui :

1° Soit exercent dans le même établissement de santé, au sein du service de santé des armées, dans le même établissement ou service social ou médico-social mentionné au I de l’article L. 312-1 du code de l’action sociale et des familles ou dans le cadre d’une structure de coopération, d’exercice partagé ou de coordination sanitaire ou médico-sociale figurant sur une liste fixée par décret ;

2° Soit se sont vu reconnaître la qualité de membre de l’équipe de soins par le patient qui s’adresse à eux pour la réalisation des consultations et des actes prescrits par un médecin auquel il a confié sa prise en charge ;

3° Soit exercent dans un ensemble, comprenant au moins un professionnel de santé, présentant une organisation formalisée et des pratiques conformes à un cahier des charges fixé par un arrêté du ministre chargé de la santé. ».

Un établissement de santé ne peut donc être considéré en soi comme constituant une équipe de soins d’où l’importance des authentifications et traçabilités pour que l’exemple néerlandais ne se reproduise pas en France !