Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Traces d’accès aux données médicales : quels droits pour les patients et le personnel soignant ?

23 mai 2016 - 11:18,
Tribune - Cédric Cartau
Pas si courant mais tout de même, surtout dans le contexte d’une judiciarisation croissante de la santé, les établissements de soins sont de plus en plus confrontés à des demandes, provenant des patients bien entendu, non seulement d’accès aux données médicales, mais surtout d’accès aux traces de connexion à ces mêmes données.

Depuis la loi Kouchner du 4 mars 2002, la première question est semble-t-il classée : tout patient dispose d’un droit d’accès à ses données médicales, soit par l’intermédiaire de son médecin traitant, soit en direct. Cette loi n’a pas que des effets positifs, en induisant par exemple une inflation des demandes des assureurs lorsqu’il s’agit de faire jouer une garantie souscrite pour motif médical. Mais dans l’ensemble, elle représente un progrès incontestable. Il faut se souvenir qu’avant 2002 un patient pouvait mourir à petit feu d’une maladie grave sans que l’établissement soit tenu de lui communiquer son état ou sa pathologie ! L’accès aux données se fait sur simple requête, la plupart des établissements publics ou privés disposant d’un service chargé de collecter en interne les différentes pièces du dossier avant communication au requérant. Au temps du papier, l’opération pouvait se révéler fastidieuse, et s’il existe un bénéfice incontestable du passage au numérique, c’est bien dans ce domaine.

Mais quid des traces d’accès aux données, c’est-à-dire l’information selon laquelle le médecin X a visualisé les données tel jour à telle heure, que le médecin Y a saisi une prescription tel autre jour, que le soignant a consulté ladite prescription le lendemain, etc. ? Si la prescription fait partie du dossier médical, qu’en est-il de l’information de la trace d’accès ? Après consultation de multiples juristes, voici l’état de mes recherches.

La trace d’accès n’est pas une donnée médicale, mais une donnée nominative, qui obéit donc à la réglementation Cnil. À ce titre, non seulement les personnels dont on collecte les données afférentes aux traces qu’ils ont laissées (soignants et médicaux dans ce cas) doivent en être informés (une charte utilisateur passée aux instances fera l’affaire), mais l’établissement doit préciser les traitements qui sont réalisés sur lesdites traces. La trace peut donc être consultée en interne de l’établissement, au motif que la Cnil stipule que le responsable du traitement doit mettre en œuvre les moyens de protection (dont l’analyse des traces), mais seulement si ce traitement a fait l’objet d’une information des personnels en question.

Pour ce qui concerne la communication à un patient de ces mêmes traces, même analyse : elle est possible, à la condition que la possibilité de communication figure dans la déclaration Cnil et que les personnels en aient été dûment informés. Pour ce second point en revanche, la prudence s’impose : d’une part on ne voit pas selon quel motif un établissement accepterait de bonne grâce de fournir ce type d’informations ; d’autre part la frontière est mince entre le patient qui demande si un médecin en particulier a eu accès à son dossier (passe encore) et la liste de tous les professionnels concernés : là, on change de gamme.

Selon moi, ce type d’informations n’a pas à être transmis en dehors de toute procédure judiciaire (un juge ayant, par définition, accès à l’ensemble du dossier dans le respect de certaines règles). Donc, si un patient demande les traces d’accès à son dossier médical, ma position est qu’il faut les lui refuser.

Trois remarques en conclusion. Tout d’abord, attention, cette analyse ne vaut que pour les DPI locaux : la réglementation impose la fourniture des traces pour le DMP, et pour le DMP seulement, même si la convergence des réglementations est une suite possible. Ensuite, je n’ai pas creusé du côté de la Cada (Commission d’accès aux documents administratifs), même si selon moi les traces techniques ne sont pas du ressort de cette institution. Enfin, cette analyse m’est propre, et je suis tout à fait prêt à l’amender en présence d’éléments factuels contradictoires.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Le CHU de Reims certifié ISO 27001 et HDS : un engagement fort pour la cybersécurité au service des patients

Le CHU de Reims certifié ISO 27001 et HDS : un engagement fort pour la cybersécurité au service des patients

13 oct. 2025 - 19:56,

Communiqué

- CHU de Reims

Le Centre hospitalier universitaire de Reims franchit une étape majeure dans sa stratégie de sécurisation des données de santé en obtenant la double certification ISO 27001 :2022 et Hébergeur de données en santé (HDS) V2. Ces certifications attestent de la conformité du CHU aux normes les plus exige...

Illustration 24 solutions candidates au référencement du Ségur du numérique Imagerie

24 solutions candidates au référencement du Ségur du numérique Imagerie

13 oct. 2025 - 18:48,

Actualité

- DSIH, Damien Dubois

Le 13 octobre, l’ANS a annoncé les solutions candidates à la suite de la dernière campagne de référencement du Ségur du numérique Imagerie vague 2 : 13 des solutions visent le référencement DRIMbox, et 11 le référencement RIS.

Illustration Intelligence artificielle en santé : entre progrès technologique et éthique, où en est-on ?

Intelligence artificielle en santé : entre progrès technologique et éthique, où en est-on ?

13 oct. 2025 - 10:01,

Actualité

- Rédaction, DSIH

À l’occasion de la Fête de la science, l’Espace Mendès France de Poitiers a récemment accueilli une conférence passionnante consacrée à l’intelligence artificielle (IA) en santé. Intitulée « Intelligence artificielle en santé, entre progrès technologique et éthique : où en est-on ? », cette rencontr...

Illustration Modernisez, sécurisez et maîtrisez votre stratégie de virtualisation avec une approche flexible du cloud hybride.

Modernisez, sécurisez et maîtrisez votre stratégie de virtualisation avec une approche flexible du cloud hybride.

10 oct. 2025 - 15:02,

Communiqué

- SCC x HPE

Éliminez la complexité, optimisez les charges de travail et gagnez en flexibilité grâce aux solutions de virtualisation moderne.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.