Quelle place laissée au respect du droit des patients ?

225. L’intérêt principal des textes encadrant l’hébergement des données de santé par des tiers est, bien entendu, de protéger la sécurité et la confidentialité de ces données et donc, par la même occasion, les intérêts des patients concernés par ces données. Toutefois, une lecture précise des textes nous permet de constater que le droit des patients, et notamment son droit au consentement (1), n’est pas particulièrement protégé. Le rôle de médecin de l’hébergeur reste cependant un rempart contre les atteintes à la confidentialité des données (2).

1) La disparition progressive du consentement

226. Le consentement du patient était, initialement, un élément obligatoire en amont de tout hébergement auprès d’un tiers (a). Mais les différentes modifications de l’article L 1111-8 du Code de la santé publique ont transformé ce principe en exception (b), avant de le faire totalement disparaitre (c).

a) Le consentement, élément initialement essentiel à l’hébergement

227. En matière de soins, le consentement du patient est un élément fondamental. Le Code de déontologie médicale rappelle d’ailleurs ce principe304_{, et la loi du 4 mars 2002 l’a érigé en}

droit essentiel du patient305. En matière de protection des données personnelles faisant l’objet d’un traitement automatisé, et plus particulièrement dans le cas des données de santé, la loi Informatique et Libertés a fait du consentement de la personne concernée par les données, une condition sine qua non du traitement. Nous avons toutefois pu constater que ce principe comporte de nombreuses exceptions, sur lesquelles nous ne reviendrons pas.306

303 _{Les Syndicats Inter-Hospitalier sont des structures de coopérations qui ont été supprimées par la loi HPST.}

Les coopérations qui prenaient cette forme doivent désormais évoluer vers une autre forme juridique.

304 _{Article R4127-36 du Code de la santé publique} 305 _{Article L. 1111-4 du Code de la santé publique.} 306 _{V. Supra. n° 230.}

131

228. Quand il a introduit en 2002 la possibilité, pour un établissement ou un professionnel de santé, d’héberger les données de santé qu’il collecte auprès d’un tiers agréé, le législateur n’a pas oublié la notion de consentement du patient. En effet, l’article L. 1111-8 du Code de la santé publique prévoyait la nécessité d’obtenir, préalablement à l’externalisation de l’hébergement, le consentement exprès du patient. D’ailleurs, dans les premières versions de l’article, ce critère strict ne souffrait d’aucune exception307

. On devine ici une réelle volonté de la part du législateur de s’assurer que le patient reste bien informé des conditions de conservation des données de santé le concernant. A ce titre, le législateur n’exigeait pas un consentement tacite de la part du patient mais bien un consentement exprès. Cela impliquait donc un véritable travail d’information et de recueil du consentement de la part de l’établissement ou du professionnel de santé. En pratique, le respect de cette obligation pouvait être assuré soit par l’hébergeur lui-même, soit par l’établissement ou le professionnel de santé qui choisissait de déposer ses données, par le biais d’un report contractuel de l’obligation. Cependant, ce principe a vite souffert d’exceptions, avant de totalement disparaître.

b) Le consentement : du principe à l’exception

229. La loi n°2007-127 du 30 janvier 2007308, en son article 25 III, était venue introduire une exception à cette obligation stricte du consentement exprès, en ajoutant à l’article L. 1111-8 du Code de la santé publique la mention suivante : « les professionnels et

établissements de santé peuvent, par dérogation aux dispositions de la dernière phrase des deux premiers alinéas du présent article, utiliser leurs propres systèmes ou des systèmes appartenant à des hébergeurs agréés sans le consentement exprès de la personnes concernée, dès lors que l’accès détenu est limité au professionnel de santé ou à l’établissement de santé qui les a déposés, ainsi qu’à la personne concernée dans les conditions prévues par l’article L. 1111-7 ».

230. Le législateur avait ainsi, dans un premier temps, restreint l’obligation de consentement aux seuls cas dans lesquels les données collectées, seraient amenées à être partagées entre plusieurs établissements ou professionnels de santé. Cette disposition

307 _{Ceci n’est plus le cas aujourd’hui, V. Infra n° 232.} 308

Loi n° 2007-127 du 30 janvier 2007 ratifiant l'ordonnance n° 2005-1040 du 26 août 2005 relative à l'organisation de certaines professions de santé et à la répression de l'usurpation de titres et de l'exercice illégal de ces professions et modifiant le Code de la santé publique, JORF n°27 du 1 février 2007, p. 1937.

132

dérogatoire a constitué une véritable remise en question de l’importance accordée au consentement du patient puisque, dans les faits, elle est devenue la règle applicable. En effet, l’exception prévue par le législateur recouvrait la majorité des cas d’hébergements des données de santé. A titre d’exemple, le dossier médical d’un établissement public de santé, n’a pas pour vocation à être partagé à l’extérieur. Dès lors, on pouvait considérer que l’accès aux données de santé était bien limité à l’établissement de santé qui les avait déposées et le consentement des patients préalable à l’hébergement auprès d’un tiers n’était donc pas nécessaire.

Comme si cette disposition n’était pas suffisante, le législateur est venu, en 2011, amoindrir de nouveau la portée du consentement du patient dans ce contexte. En effet, une disposition de la loi Fourcade, modifiant la loi HPST309, était venue préciser que les établissements de santé qui souhaitaient confier l’hébergement de leurs données de santé sur support papier à des tiers agréés, pouvaient se dispenser du consentement exprès préalable, si ces données avaient été collectées avant le 10 août 2011, date de la promulgation de la loi. Le législateur avait introduit ici une sorte de dispense générale de consentement, qui touchait en pratique des quantités extrêmement importantes de données personnelles de santé. Au final, « la valeur du consentement de la personne à l’hébergement de ses données fait défaut,

comme émoussée au fur et à mesure des textes »310.

231. Il nous semble que le législateur avait souhaité simplifier pour les établissements de santé et les professionnels, une procédure qui s’inscrivait déjà dans un environnement technique et juridique complexe. D’ailleurs, le fait que cette disposition soit apparue cinq ans après la disposition relative à l’hébergement agréé des donnée de santé, montrait bien que le législateur n’avait pas, dans un premier temps, mesuré totalement l’impact d’une telle exigence. Certains auteurs ont critiqué cette quasi-négation du consentement du patient, en contradiction avec les principes fondateurs de la loi Informatique et Libertés. Pourtant, l’évolution récente de l’article L. 1111-8 du Code de la santé publique a fait disparaitre le consentement du patient.

c) La disparition du consentement au profit de la non opposition

309

Loi n° 2009-879 du 21 juillet 2009 portant réforme de l'hôpital et relative aux patients, à la santé et aux territoires, JORF n° 0167 du 22 juillet 2009, p. 12184.

133

232. Le comité d’agrément des hébergeurs, dans son second rapport d’activité311, publié en septembre 2014, s’était interrogé sur l’intérêt du recueil préalable du consentement du patient avant la mise en place d’un hébergement externalisé. Pour le comité, il était légitime de poser la question de la nécessite de « solenniser l’accord du patient pour l’hébergement de ses

données, alors que le législateur a mis en place au moyen de la procédure d’agrément des garanties fortes de sécurité et de confidentialité »312. Il préconisait ainsi dans son rapport une évolution des textes sur ce point, le recueil du consentement du patient étant en pratique difficile à respecter. La loi de modernisation de notre système de santé a, dans son article 96,

fait disparaitre de manière définitive cette exigence au profit d’une non opposition. Désormais, l’hébergement est réalisé « après que la personne prise en charge en a été dûment

informée et sauf opposition de sa part pour un motif légitime ». Le législateur va donc ici

assez loin car le patient, dont le consentement n’est plus recherché, ne pourra de fait s’opposer à l’hébergement externalisé de ses données qu’en avançant un motif légitime, non défini par le texte.

2) Le médecin de l’hébergeur, garant du respect de la confidentialité des données

233. Le décret hébergeur vient introduire une nouvelle fonction, celle du médecin de l’hébergeur. Selon l’article R. 1111-9 du Code de la santé publique, ce médecin est une des personnes « en charge de l’activité d’hébergement ». Cette notion reste toutefois assez floue et le législateur n’apporte aucun renseignement sur les missions qui lui seraient dévolues. D’ailleurs, dans son second rapport d’activité, le Comité d’agrément des hébergeurs préconise une intervention du législateur afin de définir clairement le rôle du médecin de l’hébergeur, mais également fournir un cadre réglementaire précis à l’accès aux données de santé hébergées par ce médecin313.

234. « Rouage important de la politique de confidentialité de l’hébergeur »314, il apparait clairement que le rôle principal du médecin de l’hébergeur consiste à s’assurer, d’une part, du respect de la confidentialité des données et, d’autre part, du droit des personnes concernées

311

Rapport d’activité 2012-2013 du comité d’agrément des hébergeurs, disponible sur [http://esante.gouv.fr]. Consulté le 15 mai 2017.

312 _{Rapport d’activité 2012-2013 du comité d’agrément des hébergeurs, disponible sur [http://esante.gouv.fr].}

Consulté le 15 mai 2017, p. 20.

313 _{Id., p. 23.}

134

par les données, qu’elle détiennent aux termes de la loi Informatique et Libertés. Selon Philippe BICLET, le Président du Comité d’agrément des hébergeurs, cette fonction a également été mise en place afin que « le secret professionnel soit protégé lorsqu’une

intervention humaine est nécessaire à l’occasion du traitement des données, ce qui est par exemple le cas, en cas d’incident informatique, ou à l’occasion de la restitution des données à un patient ou à ses ayants-droits »315. Le Comité d’agrément des hébergeurs a également

précisé les missions de ce médecin de l’hébergeur. Ainsi, dans son rapport d’activité 2006- 2011316, on apprend qu’il peut également être saisi afin de procéder à certaines vérifications de cohérence, dans l’hypothèse d’une suspicion de collision ou de doublon dans les dossiers médicaux. Selon l’association française des hébergeurs agréés des données de santé, ce médecin est également tenu d’insuffler une culture de la sécurité et de la protection des données au sein de l’entreprise.

235. Le médecin devra bien évidemment signer un contrat avec l’hébergeur afin d’encadrer son intervention. L’embauche à temps complet d’un médecin semble difficilement envisageable317, et l’hébergeur optera plutôt pour un contrat du type prestation de service, de vacation ou encore de mise à disposition. Dans tous les cas, il est nécessaire de veiller à ce que le médecin conserve son indépendance déontologique vis-à-vis de l’hébergeur. Le Conseil National de l’Ordre des Médecins (CNOM) a élaboré un modèle de contrat type qu’il met à disposition sur son site Internet318. L’intérêt principal de ce modèle réside dans la précision qui est faite des missions dévolues au médecin de l’hébergeur. De même, son indépendance professionnelle est rappelée. Il est également prévu une clause afin d’éviter d’éventuels conflits d’intérêts. Ainsi, le médecin de l’hébergeur ne pourra être salarié ou exécuter des prestations de service pour le compte de personnes à l’origine des données de santé hébergées ou pour le compte des personnes concernées par ces données. Cette clause permet d’éviter, par exemple, qu’un praticien hospitalier ait accès à l’ensemble des données que son établissement fait héberger, de par son rôle de médecin hébergeur, accès qu’il n’aurait pas eu dans le cadre de son activité normale et en application des règles en matière de secret partagé.Enfin, il est prévu la communication du contrat au Conseil de l’ordre des médecins.

315 _{BICLET, Philippe. « Hébergement et échange des données de santé », médecine et droit, 2010, pp. 159-160.} 316

Rapport d’activité 2006-2011 du comité d’agrément des hébergeurs, p. 19.

317 _{ZORN-MACREZ, Caroline. « Données de santé et secret partagé », op. cit., p. 297.} 318 _{Modèle disponible sur [https://www.conseil-national.medecin.fr]. Consulté le 4 mai 2017.}

135

Le Comité d’Agrément des Hébergeurs, dans son premier rapport d’activité, a regretté l’absence dans ce contrat type d’obligation d’alerte auprès d’organismes externes, en cas de découverte d’un manquement à la confidentialité, ceci ayant pu constituer une garantie supplémentaire.

§2. La construction laborieuse du cadre relatif à la communication des