Traces d’accès aux données médicales : quels droits pour les patients et le personnel soignant ?
Depuis la loi Kouchner du 4 mars 2002, la première question est semble-t-il classée : tout patient dispose d’un droit d’accès à ses données médicales, soit par l’intermédiaire de son médecin traitant, soit en direct. Cette loi n’a pas que des effets positifs, en induisant par exemple une inflation des demandes des assureurs lorsqu’il s’agit de faire jouer une garantie souscrite pour motif médical. Mais dans l’ensemble, elle représente un progrès incontestable. Il faut se souvenir qu’avant 2002 un patient pouvait mourir à petit feu d’une maladie grave sans que l’établissement soit tenu de lui communiquer son état ou sa pathologie ! L’accès aux données se fait sur simple requête, la plupart des établissements publics ou privés disposant d’un service chargé de collecter en interne les différentes pièces du dossier avant communication au requérant. Au temps du papier, l’opération pouvait se révéler fastidieuse, et s’il existe un bénéfice incontestable du passage au numérique, c’est bien dans ce domaine.
Mais quid des traces d’accès aux données, c’est-à-dire l’information selon laquelle le médecin X a visualisé les données tel jour à telle heure, que le médecin Y a saisi une prescription tel autre jour, que le soignant a consulté ladite prescription le lendemain, etc. ? Si la prescription fait partie du dossier médical, qu’en est-il de l’information de la trace d’accès ? Après consultation de multiples juristes, voici l’état de mes recherches.
La trace d’accès n’est pas une donnée médicale, mais une donnée nominative, qui obéit donc à la réglementation Cnil. À ce titre, non seulement les personnels dont on collecte les données afférentes aux traces qu’ils ont laissées (soignants et médicaux dans ce cas) doivent en être informés (une charte utilisateur passée aux instances fera l’affaire), mais l’établissement doit préciser les traitements qui sont réalisés sur lesdites traces. La trace peut donc être consultée en interne de l’établissement, au motif que la Cnil stipule que le responsable du traitement doit mettre en œuvre les moyens de protection (dont l’analyse des traces), mais seulement si ce traitement a fait l’objet d’une information des personnels en question.
Pour ce qui concerne la communication à un patient de ces mêmes traces, même analyse : elle est possible, à la condition que la possibilité de communication figure dans la déclaration Cnil et que les personnels en aient été dûment informés. Pour ce second point en revanche, la prudence s’impose : d’une part on ne voit pas selon quel motif un établissement accepterait de bonne grâce de fournir ce type d’informations ; d’autre part la frontière est mince entre le patient qui demande si un médecin en particulier a eu accès à son dossier (passe encore) et la liste de tous les professionnels concernés : là, on change de gamme.
Selon moi, ce type d’informations n’a pas à être transmis en dehors de toute procédure judiciaire (un juge ayant, par définition, accès à l’ensemble du dossier dans le respect de certaines règles). Donc, si un patient demande les traces d’accès à son dossier médical, ma position est qu’il faut les lui refuser.
Trois remarques en conclusion. Tout d’abord, attention, cette analyse ne vaut que pour les DPI locaux : la réglementation impose la fourniture des traces pour le DMP, et pour le DMP seulement, même si la convergence des réglementations est une suite possible. Ensuite, je n’ai pas creusé du côté de la Cada (Commission d’accès aux documents administratifs), même si selon moi les traces techniques ne sont pas du ressort de cette institution. Enfin, cette analyse m’est propre, et je suis tout à fait prêt à l’amender en présence d’éléments factuels contradictoires.
Avez-vous apprécié ce contenu ?
A lire également.

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS
01 juil. 2025 - 00:00,
Actualité
- DSIHUne édition marquante par la richesse de ses échanges, la qualité de ses intervenants, et le renouvellement profond de sa communauté.

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !
30 juin 2025 - 20:50,
Communiqué
- APSSISL’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.
La cyber et les sacs de luxe
30 juin 2025 - 20:44,
Tribune
-C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.

En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares
24 juin 2025 - 18:00,
Tribune
-Temps fort traditionnel, Michel Dubois nous a habitués à des conférences techniques sur des sujets pointus, telle l’histoire du chiffrement. Nous voilà donc embarqués dans l’histoire des malwares, et on part de loin : machine de Turing, théorie de l’informatique de la fin de la Seconde Guerre mondia...