La difficile application des règles relatives au secret partagé

§1 Les règles générales

B. La difficile application des règles relatives au secret partagé

125. Le partage des données du patient va être nécessaire dans l’intérêt du patient, afin d’assurer la continuité des soins et la coordination de sa prisE en charge. Pour cela, le législateur a aménagé des dérogations au secret professionnel (1) afin de permettre et simplifier le partage des données entre professionnels. Toutefois, l’intégration des TIC dans la pratique courante vient compliquer l’application concrète des règles théoriques (2).

1) Le secret partagé, une dérogation au secret professionnel strictement encadrée

126. La notion de secret partagé n’est pas une notion récente. Très tôt, la jurisprudence a développé ce concept nécessaire à la bonne prise en charge du patient. Dès 1953160, le Conseil d’Etat reconnaissait la possibilité du partage des données médicales à condition que celui-ci soit nécessaire à la continuité de la prise en charge du patient161. Toutefois, la jurisprudence restait imprécise, voire parfois équivoque162, et le secret partagé ne bénéficiait pas de base légale suffisante à son bon développement. La loi du 4 mars 2002, en introduisant l’article L. 1110-4 au Code de la santé publique présente l’intérêt de remédier à cette situation en inscrivant dans un cadre précis le partage de données au sein d’une équipe de soins. Cet article, modifié depuis, disposait alors : « Lorsque la personne est prise en charge par une

équipe de soins dans un établissement de santé, les informations la concernant sont réputées confiées par le malade à l'ensemble de l'équipe ». Ce texte présentait néanmoins, jusque très

récemment, une lacune importante : aucune définition précise n’était apportée concernant la notion d’équipe de soins. Certains auteurs considéraient même la notion comme étant une « coquille vide »163, qui ne renvoyait à rien de précis, la composition de chaque équipe devant être étudiée au cas par cas afin de conserver une souplesse d’action. D’autres considéraient que l’équipe de soins devait obligatoirement être composée de professionnels effectuant des actes de soins et donc de professionnels de santé ayant compétence légalement reconnue pour effectuer ce type de soins164. Cette définition était, selon nous, trop réductrice. De fait, il est

160

CE, sect. Soc., 2 juin 1953, Bull. ord. Méd. 1952-1954, p. 194.

161

ZORN-MACREZ, Caroline. « Données de santé et secret partagé », op. cit., p. 119.

162_{JONAS, Carol. « La loi du 4 mars 2002 et la pratique médicale quotidienne : apports et incertitudes »,}

Médecine et droit, n° 56, 2002.

163

ZORN-MACREZ, Caroline. « Données de santé et secret partagé », op. cit., p. 119.

164_{BOILEAU Chrystelle. « L’équipe médicale : une existence évidente pour le professionnel de santé, mais}

important de ne pas restreindre la composition de l’équipe de soins aux seuls professionnels de santé stricto sensu. En effet, certains professionnels de santé n’effectuent pas de soins (comme les ambulanciers) et certains soins ne sont pas dispensés par des professionnels de santé165. Comme le souligne à juste titre Caroline ZORN-MACREZ166, il est plus important de se concentrer sur le contenu des échanges qui interviennent entre les différents professionnels, plutôt que sur la qualité de ces derniers. La notion d’équipe de soins doit donc s’entendre de manière large et certains professionnels, à l’instar des assistantes sociales, doivent pouvoir faire partie pleinement d’une équipe de soins, et donc partager les données de santé d’un patient, si la prise en charge de celui-ci le nécessite.

127. C’est ce que le législateur a entendu faire en définissant, dans le cadre de la loi de modernisation de notre système de santé167, la notion de l’équipe de soins.

Désormais, l’article L. 1110-4 est modifié et prévoit, en son point III : « lorsque ces

professionnels appartiennent à la même équipe de soins, au sens de l'article L. 1110-12, ils peuvent partager les informations concernant une même personne qui sont strictement nécessaires à la coordination ou à la continuité des soins ou à son suivi médico-social et social. Ces informations sont réputées confiées par la personne à l'ensemble de l'équipe ».

L’article L. 1110-12 quant à lui dispose : « pour l'application du présent titre, l'équipe de

soins est un ensemble de professionnels qui participent directement au profit d'un même patient à la réalisation d'un acte diagnostique, thérapeutique, de compensation du handicap, de soulagement de la douleur ou de prévention de perte d'autonomie, ou aux actions nécessaires à la coordination de plusieurs de ces actes, et qui :

1° Soit exercent dans le même établissement de santé, au sein du service de santé des armées, dans le même établissement ou service social ou médico-social mentionné au I de l'article L. 312-1 du Code de l'action sociale et des familles ou dans le cadre d'une structure de coopération, d'exercice partagé ou de coordination sanitaire ou médico-sociale figurant sur une liste fixée par décret ;

165_{ZORN-MACREZ, Caroline. « Données de santé et secret partagé », op. cit., p. 126.}

166_{ZORN-MACREZ, Caroline. « Chronique martienne des données de santé numérisées. Brèves observations}

sur une réglementation surréaliste », RDS, n° 36, 2010, p. 336.

167_{Loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé, JORF n°0022 du 27 janvier}

2° Soit se sont vu reconnaître la qualité de membre de l'équipe de soins par le patient qui s'adresse à eux pour la réalisation des consultations et des actes prescrits par un médecin auquel il a confié sa prise en charge ;

3° Soit exercent dans un ensemble, comprenant au moins un professionnel de santé, présentant une organisation formalisée et des pratiques conformes à un cahier des charges fixé par un arrêté du ministre chargé de la santé ».

128. Preuve que cette notion est difficile à cerner, le texte nous apparaît comme étant rédigé de manière complexe, proposant, finalement, plusieurs définitions dans la définition générale de l’équipe de soins. Cependant, cet article s’inscrit bien dans le sens prévu initialement par les motifs de la loi, à savoir, la promotion d’une prise en charge décloisonnée entre les différents acteurs intervenant dans la prise en charge d’un patient, les professionnels des secteurs sanitaire et médico-social y étant directement intégrés. Par ailleurs, le partage des données de santé en ville ou dans le cadre d’une collaboration ville / hôpital doit satisfaire à d’autres conditions, elles aussi exposées au sein de l’article L. 1110-4 du Code de la santé publique : « un professionnel peut échanger avec un ou plusieurs professionnels identifiés des

informations relatives à une même personne prise en charge, à condition qu'ils participent tous à sa prise en charge et que ces informations soient strictement nécessaires à la coordination ou à la continuité des soins, à la prévention ou à son suivi médico-social et social […]Le partage, entre des professionnels ne faisant pas partie de la même équipe de soins, d'informations nécessaires à la prise en charge d'une personne requiert son consentement préalable, recueilli par tout moyen, y compris de façon dématérialisée, dans des conditions définies par décret pris après avis de la Commission nationale de l'informatique et des libertés ». Dans ce cas, le consentement préalable du patient est

nécessaire avant tout partage d’informations. Nous sommes ici dans une hypothèse où l’information relative au patient va sortir du cadre strict et délimité de l’équipe de soins. Les données vont être communiquées, dans ce cas, à un professionnel extérieur à l’équipe, voire à l’établissement. Contrairement à l’ancienne rédaction de l’article L. 1110-4, qui, jusqu’en janvier 2016, prévoyait une non opposition de la part des patients avant tout échange de données le concernant168, le Code de la santé publique prévoit désormais la nécessité d’un consentement dûment recueilli et donc, formalisé. Les professionnels prenant en charge le

168_{BOSSI, Jeanne. « Le cadre juridique du partage d’information dans les domaines sanitaires et médicosocial.}

patient et souhaitant partager ses données avec un autre professionnel devront donc s’assurer de dispenser une information claire au patient afin de lui laisser l’opportunité de consentir, ou non, à cet échange. Bien que cette disposition aille dans le sens d’un renforcement du secret professionnel, il nous faut cependant déplorer, en pratique, l’aspect contraignant pour les professionnels de la nécessité de recueillir le consentement systématique avant tout échange de données.

2) Les limites de l’application du secret partagé aux TIC

129. L’application des règles relatives au secret partagé ne pose pas réellement problème quand il s’agit pour deux professionnels d’échanger à l’oral. Toutefois, l’exercice se complique dès lors que l’utilisation des TIC entre en jeu. En effet, dans le cas du dossier médical informatisé par exemple, il va falloir s’assurer que seule l’équipe de soins, au sens de l’article L. 1110-4 du Code de la santé publique, puisse accéder aux données du patient. Il va donc être nécessaire que le professionnel s’identifie dans un premier temps, puis s’authentifie ensuite. Il s’agit bien ici de deux actions différentes : une au cours de laquelle le professionnel va décliner son identité et une autre qui va permettre au professionnel de prouver qu’il est bien celui qu’il prétend être.

130. Pour ce faire a été créée la Carte de Professionnel de Santé (CPS). Beaucoup plus répandue chez les professionnels libéraux, cette carte peine toutefois à se développer dans le secteur hospitalier. La CPS, qui contient les données d’identification de son porteur ainsi que ses conditions d’exercice, permet à son détenteur de s’authentifier et de signer électroniquement les différentes opérations qu’il effectue (par exemple la rédaction d’un compte rendu d’hospitalisation). Initialement mise en place pour l’authentification des professionnels de santé dans le cadre de la transmission dématérialisée des feuilles de soins169, son utilisation a ensuite été élargie à toutes les transmissions de données de santé par voie électronique. Le décret confidentialité du 15 mai 2007170 ajoute donc au Code de la santé

169

L’article L. 161-33 du Code de la Sécurité Sociale dispose : « Dans le cas de transmission électronique par les professionnels, organismes ou établissements dispensant des actes ou prestations remboursables par l'assurance maladie, l'identification de l'émetteur, son authentification et la sécurisation des échanges sont assurées par une carte électronique individuelle, appelée carte de professionnel de santé ».

170

Décret n° 2007-960 du 15 mai 2007 relatif à la confidentialité des informations médicales conservées sur support informatique ou transmises par voie électronique et modifiant le Code de la santé publique, JORF 113 du 17 mai 2007, p. 9362.

publique un article R. 1110-3 qui prévoit qu’: « en cas d'accès par des professionnels de santé

aux informations médicales à caractère personnel conservées sur support informatique ou de leur transmission par voie électronique, l'utilisation de la carte de professionnel de santé mentionnée au dernier alinéa de l'article L. 161-33 du Code de la sécurité sociale est obligatoire. ». Cette carte est actuellement distribuée par l’Agence des Systèmes

d’Information Partagées en santé (ASIP santé).

131. Plusieurs bémols doivent être apportés à ce système a priori sécurisé. Le premier tient à son manque de diffusion au sein des établissements de santé. En effet, à l’heure actuelle, selon les chiffres de l’ASIP santé171, sur les 592 828 cartes CPS en circulation, seulement 120 408 ont été distribuées au sein des établissements de santé. Il devient alors compliqué, pour les professionnels de ces établissements, de respecter les obligations instaurées par le décret confidentialité dans le cas du partage de données de santé par voie électronique. De plus, ces cartes sont uniquement à destination des professions règlementées au titre du chapitre IV du Code de la Santé Publique. Or, en établissement de santé, le partage de données n’est pas restreint à ces professions172_{. Pour pallier ce problème, l’ASIP santé a mis}

en place des cartes de la famille de la CPS. On trouve ainsi la CDE (carte de directeur d’établissement), destinée aux directeurs d'établissement de santé. Le directeur peut également déléguer ces tâches en désignant des mandataires délégués. De même, a été créée la CPE (carte de personnel d’établissement) destinée aux salariés non professionnels de santé, des structures libérales et des établissements de santé. Là encore, ces cartes ne sont pas encore suffisamment répandues au sein des établissements de santé pour permettre d’assurer la sécurité prévue par les textes (sur les 497 590 cartes CPE, 203 987 étaient distribuées en secteur hospitalier au 20 février 2017).173

132. Les freins à l’application des règles en matière de partage des données de santé, dans le cadre de l’utilisation des TIC, sont dûs principalement aux limites de la technologie actuelle en matière de traçabilité des accès ou, pour être plus précis, aux difficultés, pour les établissements, de disposer d’un système à la fois performant et en conformité avec des textes parfois utopistes. A ce sujet, nous pouvons reprendre une expression de Caroline ZORN-

171

Chiffres disponibles sur [http://esante.gouv.fr]. Consultés le 15 mai 2017.

172_{V. Supra. n° 127.}

MACREZ, qui illustre parfaitement le problème actuel, en parlant de « secret partagé coincé

dans la bulle informatique »174.

§2. Le cas particulier de la recherche médicale : des règles de protection

Dans le document Pépite | L’utilisation des technologies de l’information et de la communication à l’hôpital face au droit (Page 82-87)