À qui appartient le dossier médical du patient (1) ?

La notion de propriété, assez ancienne, est présente dans un des plus vieux des textes juridiques connus : le code d’Hammurabi aux environ de 1750 av. JC. Elle est certainement consubstantielle au tournant du néolithique : quand on était tous nomades, la notion de « mon arbre » ou « mon champ » ne devait pas avoir beaucoup de sens. Il en fut autrement dès que l’agriculture et les villes apparurent – droit de propriété, calcul de la surface des champs et accessoirement levée d’impôts. Dans nos sociétés postindustrielles, le droit de propriété est assez bordé, et certains des derniers textes adressent même la propriété industrielle (brevets, marques…), mais aussi littéraire et artistique (droit d’auteur notamment) ; au début de la jeune nation états-unienne, le poète Edgar Poe se plaignait que l’absence de droit d’auteur permettait à n’importe qui de lui chiper ses écrits.

On peut imaginer plusieurs types de découpage, et notre droit national subdivise le concept de propriété de la façon suivante :

– les droits extrapatrimoniaux : droit de vote, droit de grève, droit à l’image, droit à l’intégrité physique, etc. La plupart du temps (et à l’exception de certaines limitations), ces droits sont perpétuels (avec des restrictions, notamment pour le volet patrimonial du droit d’auteur), inaliénables et incessibles ;

– les droits patrimoniaux, qui eux-mêmes peuvent adresser soit les biens matériels (mobiliers, immobiliers), soit les biens immatériels (le droit patrimonial d’auteur, par exemple).

Clairement, avec le DPI on est dans l’immatériel (le support papier n’y change rien), et la lecture de l’article 544 du Code civil ne laisse aucun doute : posséder une chose, c’est pouvoir en disposer comme bon nous semble : je peux mettre le feu à ma maison sans avoir de comptes à rendre à qui que ce soit, et le Code de la propriété intellectuelle mentionne un droit de retrait de l’œuvre par son auteur (avec des limitations et conditions). Le Code de la santé publique et le RGPD limitent considérablement le patient quant à son DPI : il ne peut en demander l’effacement, ni le retrait d’épisodes choisis de son parcours de soins, et son droit à l’opposition, à la rectification ou à l’oubli sont quasiment inexistants. Le droit de propriété du patient sur son propre DPI est donc sérieusement écorné. D’ailleurs, le patient ne peut pas obtenir son DPI, mais « juste » une copie de celui-ci.

La deuxième hypothèse consiste à considérer que si ce n’est pas le patient qui « possède » son DPI, c’est l’établissement de santé qui l’a ouvert et le tient à jour. Précision utile à ce stade : le professionnel de santé au sein de cet établissement ne peut en aucun cas « posséder » en nom propre le DPI du patient, pas plus que le chargé de clientèle d’une banque ne possède le dossier de son client : il est rémunéré pour effectuer une tâche, mais le produit de la tâche ne lui appartient pas. L’établissement de santé dispose d’un certain nombre de droits et de devoirs vis-à-vis du DPI du patient qui viennent cocher d’autres cases de la propriété, mais pas toutes : par exemple, au-delà de la durée légale de conservation, l’accord des archives départementales est nécessaire pour que l’établissement soit autorisé à supprimer de façon définitive le DPI d’un patient. Nous aurions donc un troisième acteur de la propriété du DPI : l’État.

En d’autres termes, la « propriété » du DPI est partagée, entre au moins trois acteurs. Mais il en est un quatrième auquel personne ne pense jamais : nos descendants. Affirmer que notre DPI (le vôtre, le mien) « appartient » à nos descendants est étrange, mais coule pourtant de source : recherche médicale, avancée technologique, REX sur les traitements et les effets à court/moyen/long terme, si vous bénéficiez de l’avancée médicale actuelle, c’est grâce en grande partie à la masse de données de nos ascendants qui ont servi du Big Data avant l’heure. J’invite d’ailleurs les sceptiques à lire le chapitre que Jean-Baptiste Fressoz consacre à la vaccination contre la variole dans L’Apocalypse joyeuse : si les enfants du xxi^e siècle n’en meurent plus, il aura fallu compiler pas mal de données et commettre pas mal d’erreurs avec des conséquences souvent dramatiques pendant des siècles.

Quatre propriétaires potentiels pour un seul « objet » immatériel, c’est une première, et signifie d’ailleurs certainement, au fond, que le DPI n’appartient à personne. Ce qui vient singulièrement complexifier les deux sujets chauds du moment : les matrices d’habilitation au DPI et les réutilisations de données des établissements de santé pour la recherche ou des finalités apparentées. Avec cet enjeu de long terme et sociétal – qui nourrit les débats et la réglementation autour des EDS et de la réutilisation des données de santé pour des finalités autres que le soin strict (observatoire, analyse des pratiques, etc.) –, garder en tête ce quatrième acteur – nos descendants – permet de relativiser, de recontextualiser ou d’amender certaines dispositions réglementaires : les textes ne sont après tout qu’un support à la réflexion et aux débats.

Mais vous avez le droit de ne pas être d’accord.

(1) Avec l’aimable relecture de M^e Laure Landes-Gronowski.

L'auteur

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.