Lubie du secteur de la santé vs RGPD

Lorsqu’il s’agit de réglementation, je ne sais pas pourquoi, dans le secteur de la santé, nous avons toujours cette fâcheuse tendance à nous croire supérieurs aux autres :« On n’a pas le choix », « Nous, on soigne les gens monsieur », « On ne peut pas faire autrement », « La Cnil ne condamnera jamais un hôpital de toute façon », « Quoi qu’il en soit, tout le monde le fait.  

Après plus de dix années passées à travailler dans le secteur de la santé, je peux vous dire que j’ai quelques belles anecdotes en mémoire, notamment au sujet des traitements de données à caractère personnel. Celle qui me revient toujours en premier, c’est cette discussion musclée avec un médecin qui voulait venir avec son ordinateur portable personnel pour ses consultations à l’hôpital.

« J’ai plus de 10 000 dossiers patients dans mon ordinateur portable ; je ne vois pas où est le problème.
– Dans le cas présent, il s’agit des patients de l’hôpital, docteur. Vous ne pouvez pas enregistrer les données des patients sur votre ordinateur portable personnel.
– Mais, mon ordinateur est sécurisé ! J’ai un mot de passe, qu’est-ce que vous croyez ! »

Amis RSSI, soyez vigilants ! Il semblerait qu’il fut un temps où certains médecins auraient pu obtenir avec leur diplôme une équivalence d’ingénieur en sécurité des systèmes d’information ; je crois que ça ne se fait plus, mais il en reste encore peut-être quelques spécimens.

« Au-delà du fait que légalement vous ne pouvez pas enregistrer les données des patients de l’hôpital sur votre ordinateur portable personnel, si votre disque dur n’est pas chiffré, en cas de vol de votre ordinateur, vos données ne seront pas protégées et n’importe qui pourra y accéder.
–On peut bien me voler mon ordinateur, j’ai des sauvegardes, je fais des copies de mes dossiers patients sur trois disques durs externes mon petit monsieur. »

De mieux en mieux, je vois que j’ai affaire à un expert.

« J’imagine qu’aucun de vos disques n’est chiffré en plus ?
– Pour quoi faire ? Je vous ai dit que j’avais un mot de passe !
– Prêtez-moi votre ordinateur et accordez-moi cinq minutes. Je vais vous montrer que votre mot de passe ne protège en rien l’accès à vos données. »

Étonnamment, il n’a jamais voulu faire le test.

Parmi les lubies du secteur de la santé, il y en a une que l’on me remet régulièrement sur le tapis ces dernières années : il faut scanner les pièces d’identité des patients pour les intégrer à la GAM. Je ne sais pas si cette idée saugrenue est venue au départ des éditeurs de GAM ou des établissements, mais je me souviens de la réponse que m’a faite un directeur commercial lors d’une présentation de sa solution qui intégrait cette fonctionnalité, dont il était très fier, lorsque je lui ai dit que la loi l’interdisait.
« Mais monsieur, tous les établissements avec lesquels nous travaillons le font ! »

Ce qui ne veut pas dire que la loi l’autorise. J’ai eu droit alors à d’autres arguments du genre :
« C’est justifié par le risque encouru en cas de transfusion sanguine ou de certains traitements médicaux qui nécessitent l’identification exacte du patient. »

Je ne suis ni juriste ni médecin mais, pour moi, c’est totalement faux et irrecevable en cas de contrôle par la Cnil.
Dans un cas d’extrême urgence, un patient peut être amené à être transfusé sans que l’on connaisse son groupe sanguin et encore moins son identité. Pour ma part, je n’ai d’ailleurs jamais vu le groupe sanguin inscrit sur une pièce d’identité.
En ce qui concerne l’accueil de patients dans l’incapacité de donner leur identité (personne inconsciente n’ayant aucuns papiers sur elle, par exemple), il existe des procédures permettant de créer des dossiers.
Pour en revenir au traitement de données à caractère personnel, même si l’article 6 du RGPD stipule que le traitement est licite s’il « est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique », l’article 5 du RGPD précise également :

« Les données à caractère personnel doivent être :

– […] collectées pour des finalités déterminées, explicites et légitimes ;
– adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. »

Comment peut-on justifier que, pour la sauvegarde des intérêts vitaux d’une personne, nous enregistrions sa photo, sa signature manuscrite et son numéro de pièce d’identité ?
Selon moi, on ne peut pas, et il en va de même avec les cartes Vitale ou les cartes des mutuelles.

Alors oui, l’article L. 162-21 du Code de la sécurité sociale [1] autorise les établissements de santé pouvant dispenser des soins aux assurés sociaux à demander aux patients de justifier de leur identité en présentant une pièce d’identité comportant leur photographie, mais sûrement pas d’en conserver une copie, qu’elle soit numérique ou papier.

L’établissement peut saisir informatiquement les données que contient la pièce d’identité (à l’exception du numéro de la pièce) afin de constituer un dossier patient, mais ne peut scanner la pièce d’identité et l’intégrer à sa GAM.

Je me demande d’ailleurs quel intérêt nous pourrions bien avoir à conserver une copie de la pièce d’identité, puisque dans tous les cas il est nécessaire de la ressaisir.

Il serait beaucoup plus rapide et efficace en matière d’identitovigilance d’utiliser une solution de lecture de bande MRZ [2] afin de récupérer les informations que les établissements sont autorisés à conserver.

Certains vous diront que, comme les autres le font, nous pouvons bien le faire, et qu’une autorité telle que la Cnil ne condamnerait jamais des établissements publics de santé…
Rappelez-vous la condamnation de l’hôpital portugais Barreiro-Montijo par la Commission nationale pour la protection des données à une amende de 400 000 euros au mois d’octobre pour non-respect du RGPD [3].

Si certains veulent jouer, moi pas !

---

[1] =

[2] ) ;

[3]