Effacer une donnée médicale d’un patient ? Vraiment ?

Évacuons tout de suite l’erreur manifeste. Si votre serviteur s’aperçoit que son identité dans un DP est cochée « Femme », j’ai encore vérifié ce matin au lever, je vous affirme que c’est une erreur et qu’il faut la corriger sans délai. Fin du use case n° 1.

Le RGPD stipule qu’une donnée peut être effacée si la personne concernée a un « motif légitime », mais en même temps introduit des exceptions, notamment (art. 17) pour des motifs de santé publique. Use case n° 2 : prenons l’exemple (vécu) du patient qui se retrouve aux urgences après un coma éthylique consécutif à une soirée arrosée, et qui demande l’effacement de ce passage (un séjour) au motif que sa divulgation pourrait nuire à sa réputation. Il y a eu prise en charge médicale, et l’établissement est contraint de conserver les données au moins 20 ans : la demande d’effacement est donc illégitime. S’il vous vient à l’esprit d’anonymiser les données pour répondre au besoin de confidentialité, selon moi, cette solution est à proscrire. Non seulement la traçabilité du dossier du patient sera perdue (s’il vous demande une copie de son DP cinq ans plus tard, vous serez incapable de retrouver le séjour anonymisé – ou alors il n’aura pas été vraiment anonymisé, et dans ce cas retour à la case départ), mais en plus une perte de chance du patient sera induite au sens où une partie de son historique médical sera inaccessible à la prochaine prise en charge : êtes-vous certain que les médicaments prescrits lors du passage aux urgences n’ont aucun impact sur de futures prescriptions ? Certains essayent de louvoyer et effacent les données du logiciel pour les remettre au format papier, avec un accès « à l’ancienne » passant par les archives : non applicable encore une fois selon moi pour les mêmes raisons, à savoir la perte de chance. Au fait, les cas d’anonymisation sont strictement encadrés par les textes, seuls certains motifs de prise en charge sont candidats à l’anonymisation (IVG, VIH, etc.), et pas quand cela vous chante. D’ailleurs, si l’on pousse le raisonnement jusqu’au bout, il va être compliqué en cas de contrôle de la Cnam de justifier la tarification T2A d’un acte que l’on aurait effacé d’un DP : eh oui ! le Web n’oublie jamais, la Cnam non plus.

Autre exemple, celui d’un diagnostic que le patient considère comme inexact, cas déjà rencontré en psychiatrie : « Mais non je ne suis pas bipolaire, j’étais juste énervé d’avoir perdu à Mario Kart la veille. » Bon, on aura compris que si le patient peut signifier au psychiatre ce qu’il doit – ou pas – écrire dans le séjour psy de son DP, on court direct à la chienlit. En tant que DPO, il ne me revient surtout pas d’apprécier si un diagnostic est justifié ou non, par contre je ne peux que constater que tel jour à telle heure, tel praticien a émis tel diagnostic sur tel patient et que cette donnée doit être renseignée dans son DP. Fermez le ban, fin du use case n° 3.

Récemment, je suis en revanche tombé sur un cas intéressant : les plateformes régionales de RCP (réunions de concertation pluridisciplinaire) concernant une pathologie précise (un cancer dans le cas évoqué). La plateforme permet à des praticiens de différents établissements de « pousser » (interconnexion logicielle) des DP sur la plateforme afin d’être examinés en RCP pour décider si le patient doit bénéficier ou non de tel protocole, s’il relève ou non de telle pathologie. Il existe deux sous-cas : le premier concerne le patient dont le DP a par erreur été envoyé sur la plateforme (un clic de souris malencontreux du praticien peut se produire, même si dans l’exemple auquel j’ai été confronté il faudrait vraiment y aller). Là, on est bien dans le cas d’une erreur manifeste (use case n° 1), on efface, fin de l’histoire. Bon, allez, comme je suis un DPO joueur, j’adore demander au responsable de traitement sa procédure pour auditer sa base (par échantillonnage par exemple) afin de débusquer les erreurs du genre, et tant qu’on y est les trois derniers enregistrements – surtout ne me remerciez pas. Mais le second sous-cas, un patient dont le DP a légitimement été envoyé sur la plateforme et qui ne présente pas au final la pathologie concernée (tant mieux pour lui), ne relève pas de l’effacement, puisque la RCP dont on doit conserver la trace avec diagnostic négatif a eu lieu.

Pour terminer, il y a aussi le cas classique d’un effacement de DP à l’issue du délai réglementaire de conservation. Oui, enfin, pas tout à fait non plus, avant de lancer le batch, on a besoin du quitus des archives départementales qui dans certains cas conservent des DP à des fins historiques.

Bon, on va juste éviter de dire au patient que les données sont aussi sauvegardées, les sauvegardes conservées dans certains cas dans des coffres pendant des années, que la bande ne contient pas seulement la sauvegarde de son DP, mais celle de tout le DPI et qu’il va falloir attendre le cycle complet de rétention pour être sûr d’avoir tout effacé. Et encore, je ne mentionne même pas le recours à des solutions de sauvegarde SaaS, là, on en est rendu à de l’incantation de Cthulhu et de Nyarlathotep.

Et pour finir de pourrir le sujet, si tout le monde est d’accord sur le fait que l’information selon laquelle le patient X est passé dans le service Y ou l’unité Z est une information médicale (elle l’est), alors il faut aussi supprimer les données des logiciels de restauration, de transport, de téléphonie en chambre, etc.

Je sens poindre un métier d’avenir : effaceur de données. Vous faites quoi dans la vie ?

L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.