Traces d’accès aux données médicales : quels droits pour les patients et le personnel soignant ?

Depuis la loi Kouchner du 4 mars 2002, la première question est semble-t-il classée : tout patient dispose d’un droit d’accès à ses données médicales, soit par l’intermédiaire de son médecin traitant, soit en direct. Cette loi n’a pas que des effets positifs, en induisant par exemple une inflation des demandes des assureurs lorsqu’il s’agit de faire jouer une garantie souscrite pour motif médical. Mais dans l’ensemble, elle représente un progrès incontestable. Il faut se souvenir qu’avant 2002 un patient pouvait mourir à petit feu d’une maladie grave sans que l’établissement soit tenu de lui communiquer son état ou sa pathologie ! L’accès aux données se fait sur simple requête, la plupart des établissements publics ou privés disposant d’un service chargé de collecter en interne les différentes pièces du dossier avant communication au requérant. Au temps du papier, l’opération pouvait se révéler fastidieuse, et s’il existe un bénéfice incontestable du passage au numérique, c’est bien dans ce domaine.

Mais quid des traces d’accès aux données, c’est-à-dire l’information selon laquelle le médecin X a visualisé les données tel jour à telle heure, que le médecin Y a saisi une prescription tel autre jour, que le soignant a consulté ladite prescription le lendemain, etc. ? Si la prescription fait partie du dossier médical, qu’en est-il de l’information de la trace d’accès ? Après consultation de multiples juristes, voici l’état de mes recherches.

La trace d’accès n’est pas une donnée médicale, mais une donnée nominative, qui obéit donc à la réglementation Cnil. À ce titre, non seulement les personnels dont on collecte les données afférentes aux traces qu’ils ont laissées (soignants et médicaux dans ce cas) doivent en être informés (une charte utilisateur passée aux instances fera l’affaire), mais l’établissement doit préciser les traitements qui sont réalisés sur lesdites traces. La trace peut donc être consultée en interne de l’établissement, au motif que la Cnil stipule que le responsable du traitement doit mettre en œuvre les moyens de protection (dont l’analyse des traces), mais seulement si ce traitement a fait l’objet d’une information des personnels en question.

Pour ce qui concerne la communication à un patient de ces mêmes traces, même analyse : elle est possible, à la condition que la possibilité de communication figure dans la déclaration Cnil et que les personnels en aient été dûment informés. Pour ce second point en revanche, la prudence s’impose : d’une part on ne voit pas selon quel motif un établissement accepterait de bonne grâce de fournir ce type d’informations ; d’autre part la frontière est mince entre le patient qui demande si un médecin en particulier a eu accès à son dossier (passe encore) et la liste de tous les professionnels concernés : là, on change de gamme.

Selon moi, ce type d’informations n’a pas à être transmis en dehors de toute procédure judiciaire (un juge ayant, par définition, accès à l’ensemble du dossier dans le respect de certaines règles). Donc, si un patient demande les traces d’accès à son dossier médical, ma position est qu’il faut les lui refuser.

Trois remarques en conclusion. Tout d’abord, attention, cette analyse ne vaut que pour les DPI locaux : la réglementation impose la fourniture des traces pour le DMP, et pour le DMP seulement, même si la convergence des réglementations est une suite possible. Ensuite, je n’ai pas creusé du côté de la Cada (Commission d’accès aux documents administratifs), même si selon moi les traces techniques ne sont pas du ressort de cette institution. Enfin, cette analyse m’est propre, et je suis tout à fait prêt à l’amender en présence d’éléments factuels contradictoires.