Publicité en cours de chargement...

Publicité en cours de chargement...

Effacer une donnée médicale d’un patient ? Vraiment ?

19 juil. 2022 - 10:11,
Tribune - Cédric Cartau
Les données médicales constituent une exception sur pas mal d’éléments du RGPD : pas de droit à l’opposition du recueil (on excepte la question de l’anonymat), peu de droit à la rectification. Mais il est une question qui revient de temps en temps et qui concerne la question de l’effacement des données médicales d’un patient (soit tout le dossier, soit un séjour en particulier). La question est tout sauf simple, d’autant qu’il existe pas mal de cas d’usage à tiroirs. Cet article n’a pas la prétention de l’exhaustivité, juste d’illustrer une question qui paraît simple mais qui, en réalité, est protéiforme.

Évacuons tout de suite l’erreur manifeste. Si votre serviteur s’aperçoit que son identité dans un DP est cochée « Femme », j’ai encore vérifié ce matin au lever, je vous affirme que c’est une erreur et qu’il faut la corriger sans délai. Fin du use case n° 1.

Le RGPD stipule qu’une donnée peut être effacée si la personne concernée a un « motif légitime », mais en même temps introduit des exceptions, notamment (art. 17) pour des motifs de santé publique. Use case n° 2 : prenons l’exemple (vécu) du patient qui se retrouve aux urgences après un coma éthylique consécutif à une soirée arrosée, et qui demande l’effacement de ce passage (un séjour) au motif que sa divulgation pourrait nuire à sa réputation. Il y a eu prise en charge médicale, et l’établissement est contraint de conserver les données au moins 20 ans : la demande d’effacement est donc illégitime. S’il vous vient à l’esprit d’anonymiser les données pour répondre au besoin de confidentialité, selon moi, cette solution est à proscrire. Non seulement la traçabilité du dossier du patient sera perdue (s’il vous demande une copie de son DP cinq ans plus tard, vous serez incapable de retrouver le séjour anonymisé – ou alors il n’aura pas été vraiment anonymisé, et dans ce cas retour à la case départ), mais en plus une perte de chance du patient sera induite au sens où une partie de son historique médical sera inaccessible à la prochaine prise en charge : êtes-vous certain que les médicaments prescrits lors du passage aux urgences n’ont aucun impact sur de futures prescriptions ? Certains essayent de louvoyer et effacent les données du logiciel pour les remettre au format papier, avec un accès « à l’ancienne » passant par les archives : non applicable encore une fois selon moi pour les mêmes raisons, à savoir la perte de chance. Au fait, les cas d’anonymisation sont strictement encadrés par les textes, seuls certains motifs de prise en charge sont candidats à l’anonymisation (IVG, VIH, etc.), et pas quand cela vous chante. D’ailleurs, si l’on pousse le raisonnement jusqu’au bout, il va être compliqué en cas de contrôle de la Cnam de justifier la tarification T2A d’un acte que l’on aurait effacé d’un DP : eh oui ! le Web n’oublie jamais, la Cnam non plus.

Autre exemple, celui d’un diagnostic que le patient considère comme inexact, cas déjà rencontré en psychiatrie : « Mais non je ne suis pas bipolaire, j’étais juste énervé d’avoir perdu à Mario Kart la veille. » Bon, on aura compris que si le patient peut signifier au psychiatre ce qu’il doit – ou pas – écrire dans le séjour psy de son DP, on court direct à la chienlit. En tant que DPO, il ne me revient surtout pas d’apprécier si un diagnostic est justifié ou non, par contre je ne peux que constater que tel jour à telle heure, tel praticien a émis tel diagnostic sur tel patient et que cette donnée doit être renseignée dans son DP. Fermez le ban, fin du use case n° 3.

Récemment, je suis en revanche tombé sur un cas intéressant : les plateformes régionales de RCP (réunions de concertation pluridisciplinaire) concernant une pathologie précise (un cancer dans le cas évoqué). La plateforme permet à des praticiens de différents établissements de « pousser » (interconnexion logicielle) des DP sur la plateforme afin d’être examinés en RCP pour décider si le patient doit bénéficier ou non de tel protocole, s’il relève ou non de telle pathologie. Il existe deux sous-cas : le premier concerne le patient dont le DP a par erreur été envoyé sur la plateforme (un clic de souris malencontreux du praticien peut se produire, même si dans l’exemple auquel j’ai été confronté il faudrait vraiment y aller). Là, on est bien dans le cas d’une erreur manifeste (use case n° 1), on efface, fin de l’histoire. Bon, allez, comme je suis un DPO joueur, j’adore demander au responsable de traitement sa procédure pour auditer sa base (par échantillonnage par exemple) afin de débusquer les erreurs du genre, et tant qu’on y est les trois derniers enregistrements – surtout ne me remerciez pas. Mais le second sous-cas, un patient dont le DP a légitimement été envoyé sur la plateforme et qui ne présente pas au final la pathologie concernée (tant mieux pour lui), ne relève pas de l’effacement, puisque la RCP dont on doit conserver la trace avec diagnostic négatif a eu lieu.

Pour terminer, il y a aussi le cas classique d’un effacement de DP à l’issue du délai réglementaire de conservation. Oui, enfin, pas tout à fait non plus, avant de lancer le batch, on a besoin du quitus des archives départementales qui dans certains cas conservent des DP à des fins historiques.

Bon, on va juste éviter de dire au patient que les données sont aussi sauvegardées, les sauvegardes conservées dans certains cas dans des coffres pendant des années, que la bande ne contient pas seulement la sauvegarde de son DP, mais celle de tout le DPI et qu’il va falloir attendre le cycle complet de rétention pour être sûr d’avoir tout effacé. Et encore, je ne mentionne même pas le recours à des solutions de sauvegarde SaaS, là, on en est rendu à de l’incantation de Cthulhu et de Nyarlathotep.

Et pour finir de pourrir le sujet, si tout le monde est d’accord sur le fait que l’information selon laquelle le patient X est passé dans le service Y ou l’unité Z est une information médicale (elle l’est), alors il faut aussi supprimer les données des logiciels de restauration, de transport, de téléphonie en chambre, etc.

Je sens poindre un métier d’avenir : effaceur de données. Vous faites quoi dans la vie ?


L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

21 avril 2025 - 19:07,

Tribune

-
Cédric Cartau

Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

Illustration Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

08 avril 2025 - 07:19,

Tribune

-
Cédric Cartau

Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...

Illustration Ségur numérique : Mise à jour du calendrier réglementaire pour les dispositifs de la Vague 2 à l’hôpital

Ségur numérique : Mise à jour du calendrier réglementaire pour les dispositifs de la Vague 2 à l’hôpital

24 mars 2025 - 20:32,

Actualité

- DSIH,

Afin de garantir au plus grand nombre d’établissements de santé l’accès aux mises à jour financées par le Ségur numérique, le calendrier des dispositifs dédiés aux logiciels Dossier Patient Informatisé (DPI) et Plateforme d’Interopérabilité (PFI) a été étendu par un arrêté modificatif, publié ce jou...

Illustration Loi sur le narcotrafic et fin du chiffrement : analyse d’un membre éminent et actif du CVC

Loi sur le narcotrafic et fin du chiffrement : analyse d’un membre éminent et actif du CVC

10 mars 2025 - 19:33,

Tribune

-
Cédric Cartau

Vous n’avez pas pu le rater : sous couvert de lutte contre le trafic de stupéfiants, la proposition de loi d’Étienne Blanc et de Jérôme Durain, déjà adoptée à l’unanimité au Sénat, sera débattue au mois de mars à l’Assemblée nationale. Baptisée « loi Narcotrafic », elle vise à obliger les services d...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.