Revenir au site

Le RGPD gardien des secrets ?

Ou comment cohabitent le "secret médical", le "secret partagé", le partage d'informations à caractère secret et le RGPD ...

· Articles

Pour commencer, au risque de choquer certains, je parlerai dans cet article volontairement de partage d’informations à caractère secret et non de secret partagé ; force est de constater que la notion de « secret partagé » n’existe pas en droit et que l’on trouvera par contre, de nombreuses références au « partage d’informations à caractère secret » .

Le travail social demande de la coordination de la part d’acteurs pluridisciplinaires qui n’ont pas, selon la théorie juridique, à connaître tous les mêmes informations sur les personnes accompagnées; ceci en fonction de leurs missions. Néanmoins sans ce partage, la prise en charge ne peut être réalisée. Le secret partagé est un abus de langage derrière lequel se cache cette vague notion, difficile à cerner, dans laquelle chacun met ce dont il lui semble devoir connaître pour intervenir au mieux de la personne confiée.
L’utilisation de cette expression est trompeuse car elle semble induire que tout peut être su par tout le monde ce qui est loin de la réalité. En effet le partage d’informations à caractère secret doit être limité au strict nécessaire dans le cadre de l’action menée dans l’intérêt et le respect de la personne accueillie. De plus il est nécessaire de cerner quelques notions de bases, telles qu’elles ont été rappelées dans un rapport de l’Ordre des médecins de février 2017 .
 

Cela étant dit, les informations à caractère secret recouvrent les données de santé et le RGPD a eu un apport significatif en la matière puisqu’il a donné une définition élargie de celles-ci : Ce sont, au sens de l’article 4 alinéa 15 du Règlement, « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».

Déjà, la loi du 27 janvier 2016 de modernisation de notre système de santé a facilité les choses en remettant clairement en cause dans son article 96, le principe du secret médical.

En modifiant le code de la santé publique en effet, il permet à d’autres professions de participer à cet échange d’informations couvertes initialement par le secret médical.
Le décret 2016-994 précise les conditions d'échange et de partage d'informations de santé à caractère personnel entre professionnels de santé et autres professionnels des champs social et médico-social.

Le décret 2016-996 aborde le cas spécifique de l’équipe de soins tandis que le décret 2016-1349 précise le cas du partage d’informations entre des professionnels ne faisant pas partie de la même équipe de soins et notamment la question du consentement préalable du patient (ou de son représentant) à cet échange.


En juin 2017, le Haut Conseil du Travail Social, par la voix de sa Commission Ethique et Déontologie précisait lui aussi les limites et les conditions préalables à ce partage ; Or l’échange ou le partage d’information à caractère personnel est justement le sujet visé par le RGPD.

Clairement les principes retenus pour ces échanges d’informations sont conformes aux principes énoncés par le Règlement, pourtant aucun écrit datant de 2017, que ce soit celui de l’Ordre National des médecins ou celui du Haut Conseil du Travail Social n’y fait référence !

Pourtant l’adoption du RGPD date du 27 avril 2016, même si la date d’application dans les états membres était renvoyé à mai 2018.

Quels sont ces principes retenus ?


1. Le premier principe est de « déterminer l’objectif du partage et sa plus-value dans la prise en charge ». Cette notion se rattache clairement à celle de finalité de la collecte.

2. Vérifier « le caractère confidentiel ou non des informations traitées » ou autrement dit savoir exactement quelles sont les données collectées.

3. Regarder « dans quelle mesure elles peuvent être partagées au regard de la loi » c’est-à-dire s’interroger au regard de la licéité du traitement.

4. Informer « préalablement les personnes du partage d’informations les concernant » ; Le RGPD prévoit exactement la même chose. L’accord de la personne ne sera recherché que dans les cas où elle peut donner son consentement éclairé. Dans les autres cas, on se rappellera que le RGPD permet des dispenses de recueil de consentement qui s’appliquent pleinement dans le champ social et médico-social tout en insistant sur droits d’information et de consultation déjà prévus dans la loi 2002-2.

5. Examiner « les situations au regard du champ de compétences et de la légitimité de chaque acteur du partage en précisant leurs places respectives et à quel titre ils interviennent ». Les fiches de traitement prévoient quant à elles la liste des personnes ayant accès et la justification de ceux-ci au regard de la fonction de chacun. La difficulté peut bien sûr provenir du fait que la composition de l’équipe de soin n’est pas figée et qu’elle peut varier ; le RGPD impose donc que les destinataires listés dans les fiches descriptives des traitements soient modifiés si tel est le cas.

6. La « soumission aux règles éthiques ou déontologiques ou juridiques » va de soit dans les deux cas. Le non-respect de cette condition serait une atteinte à la vie privée et une faute professionnelle (article 226 alinéa 21 et 22 du Code Pénal).

7. Se « limiter au strict nécessaire » revient à mettre en œuvre le principe de minimisation des données.


8. Veiller « à connaître le parcours et l’étendue de la diffusion ainsi que les durées de conservation ». Le RGPD me semble aller plus loin sur cette question puisqu’il ne suppose pas seulement de connaître les durées de conservation mais impose de calquer celles-ci en fonction de la nécessité de traitement les données.

9. Le Conseil National de l’ordre des médecins s’intéresse aussi à la sécurisation physique des données ;

Mais depuis la diffusion de ce rapport, les choses ont changé : les hébergeurs étaient auparavant soumis à une procédure d’agrément, délivré par le Ministre en charge de la Santé.

 

L’ordonnance n°2017-27 du 12 janvier 2017 est venue modifier l’article L.1111-8 du Code de la santé publique pour remplacer l’agrément par une procédure de certification.

 

Depuis le 1er avril 2018, les hébergeurs de données de santé doivent donc se rapprocher d’un organisme certificateur, lui-même accrédité par le COFRAC , qui évalue leur conformité sur la base du référentiel de certification . Le certificat de conformité qui sera délivré aura une durée de validité de trois ans et sera complété par un audit de surveillance.
Il existe deux types de certificat selon l’activité exercée :
• le certificat « hébergeur d’infrastructure physique », pour les activités de mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle ;
• le certificat « hébergeur avec infogérance » qui recouvre les activités de mise à disposition d’infrastructure virtuelle, de plateforme logicielle, d’infogérance et de sauvegarde externalisée.

Pour conclure, je dirais que l’apport majeur du RGPD sur ces questions a été de clarifier la notion de données de santé et d'élargir la définition retenue ultérieurement. De plus, la prise en compte des mesures à mettre en place dans le cadre de la mise en conformité devrait permettre aux structures de revoir la formalisation de leurs procédures concernant les partages et échanges d’information entre professionnels, et également les procédures d’accès aux dossiers par les personnes elles-mêmes ;

Le RGPD devrait être une aide précieuse pour repartir sur des bases claires et enterrer définitivement si ce n’est déjà fait cette notion floue de secret partagé en le remplaçant par une liste claire des destinataires des différentes informations, établie aussi en apport avec les fiches de fonction correspondantes.

Et surtout (on ne le dira jamais assez) :

- le RGPD traite des données personnelles qu’elles soient sur support papier ou numérique.

- le dossier de la personne accueillie doit être unique.

Cette unicité demandée par la loi est aussi un des facteurs clés de la protection des données ; Si des copies de dossiers sont réalisées et non maîtrisées, le risque de divulgation à des personnes non autorisées devient majeur.

Crédit photo Pixabay

1 - Article 226-13 du Code Pénal et article 226-2-2 du Code de l’Action sociale et des Familles

2 - Echanges et partage d’informations au sein de l'équipe de soins prenant en charge une personne


3 - « Art. R. 1110-1.-Les professionnels participant à la prise en charge d'une même personne peuvent, en application de l'article L. 1110-4, échanger ou partager des informations relatives à la personne prise en charge dans la double limite :
« 1° Des seules informations strictement nécessaires à la coordination ou à la continuité des soins, à la prévention, ou au suivi médico-social et social de ladite personne ;
« 2° Du périmètre de leurs missions.

 

4 - http://solidarites-sante.gouv.fr/IMG/pdf/livret-4pages_partage_commissions_pa-3.pdf

 

5 - COFRAC : Comité Français d’Accréditation

 

6 - Le référentiel de la procédure de certification

 

7 - En ce qui concerne les durées de conservation des documents relatifs aux personnes accompagnées on peut se référer au Guide

http://solidarites-sante.gouv.fr/professionnels/gerer-un-etablissement-de-sante-medico-social/qualite-dans-les-etablissements-de-sante-sociaux-et-medico-sociaux/article/guide-pour-les-etablissements-sociaux-et-medico-sociaux-le-dossier-de-la