Les professionnels de la santé à l’épreuve de la sécurité informatique

Par une mise en demeure publique du 25 septembre 2013, la CNIL vient de révéler qu’un centre hospitalier du nord de la France avait failli dans son obligation de sécurité en permettant à un prestataire informatique d’accéder aux dossiers médicaux de nombreux patients.

Le Code de la santé publique impose en effet aux établissements de santé privés et publics d’appliquer une codification sur les actes médicaux pratiqués afin notamment que chaque acte corresponde un code de remboursement par l’assurance maladie (Cf. Art. L.6113-7 et s. du Code de la Santé Publique).

L’analyse de l’activité médicale imposée par le législateur suppose donc, pour les établissements de santé, de s’engager dans le Programme de Médicalisation des Systèmes d’Information (PMSI) qui consiste principalement à mettre en œuvre des systèmes d’information tenant compte des pathologies et des modes de prises en charge.

La précision du codage des actes médicaux effectué via le PMSI est particulièrement stratégique pour les établissements de santé puisqu’elle est en relation directe avec leur système de financement. Or, au regard du volume considérable de données à traiter (chaque acte répertorié dans des centaines de dossiers patients), les établissements de santé sont amenés à faire intervenir des prestataires extérieurs pour les aider dans l’analyse de leur activité.

Se pose alors la question de l’accès aux données patients par des tiers et, d’une manière générale, du respect de l’obligation de sécurité de l’établissement de santé, obligation fixée à l’article 34 de la loi n°78-17 du 6 janvier 1978 modifiée (ci-après loi IEL) :

« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

I. UN DISPOSITIF PMSI INSUFFISANT…

Le Centre hospitalier ayant fait l’objet du contrôle justifiait d’un Programme de Médicalisation des Systèmes d’Information (PMSI) prévoyant les éléments suivants :

– Un progiciel métier contenant les « données patients » sécurisé par un système d’authentification individuelle ayant fait l’objet d’une déclaration à la CNIL

– Un système d’archive assurant la conservation des dossiers patients au format papier (CR d’hospitalisation, de consultation, d’imagerie, observations médicales, traitements prescrits, dossier infirmier).

– Un Département d’Information Médicale (DIM) de 12 personnes placées sous la responsabilité d’un médecin. Le DIM est en charge de l’extraction des informations issues des dossiers médicaux des patients en vue de leur codage.

– Un contrat signé avec un prestataire externe lui donnant les habilitations identiques à celles d’un profil « DIM » incluant notamment des droits d’écriture sur les dossiers médicaux et un accès aux dossiers en version papier et numérique. Ce contrat prévoyait une clause de confidentialité.

– Le prestataire choisi justifiait d’une autorisation de la CNIL pour procéder à des analyses de l’activité d’établissements de santé.

II. …CARACTÉRISANT UNE VIOLATION DE LA LOI INFORMATIQUE ET LIBERTÉS

La CNIL, à l’occasion de son contrôle a considéré que le PMSI mis en œuvre caractérisait :

Une violation de l’obligation de sécurité prévue à l’article 34 de la loi IEL et dont le non respect faisait encourir à l’établissement de santé une peine d’amende de 1.5 Millions d’euros

Une atteinte au droit au respect de la vie privée des patients tel que visé à l’article 1er de la loi IEL qui précise notamment que « l’informatique doit être mise au service de chaque citoyen. (…) elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques »

L’obligation de sécurité s’apprécie traditionnellement par la CNIL au regard de la nature des données et du risque pour la vie privée des personnes concernées étant précisé que cette obligation sera d’autant plus renforcée que les données auront une nature sensible. En l’espèce, le contenu des dossiers médicaux des patients constitue à l’évidence des données éminemment sensibles dont l’accès et le traitement sont par ailleurs spécifiquement encadrés.

Sur ce point, la CNIL observe que le Programme de Médicalisation des Systèmes d’Information (PMSI) doit notamment s’attacher à respecter les dispositions du Code de Santé Publique (Cf. Art. R.6113-5) :

« Les médecins chargés de la collecte des données médicales nominatives ou du traitement des fichiers comportant de telles données sont soumis à l’obligation de secret dont la méconnaissance est punie conformément aux articles 226-13 et 226-14 du code pénal.

Il en est de même des personnels placés ou détachés auprès de ces médecins et qui travaillent à l’exploitation de données nominatives sous leur autorité, ainsi que des personnels intervenant sur le matériel et les logiciels utilisés pour le recueil et le traitement des données. »

En l’espèce, la violation de l’obligation de sécurité est caractérisée par l’ouverture de l’accès aux « données patients » à un personnel extérieur à l’établissement de santé et au Département d’Information Médicale (DIM).

Peu importe que le prestataire soit autorisé par la CNIL à procéder à des analyses de l’activité des établissements, qu’il justifie de clauses de confidentialité pour chacun de ses intervenant et que le représentant légal de cette société soit en outre un médecin. C’est bien la politique de sécurité et plus précisément la politique d’habilitation qui est ici mise en cause, la CNIL s’attachant à dénoncer des accès aux données individuelles de santé à un personnel étranger à la prise en charge médicale du patient.

III. QUELLES SOLUTIONS ?

Par une mise en demeure rendue publique la CNIL a donné 10 jours au Centre Hospitalier contrôlé pour :

– Mettre en œuvre les mesures de sécurité physiques et logiques pour garantir la sécurité et la confidentialité des dossiers médicaux

– Veiller à ce que les dossiers médicaux ne puissent pas être accessibles par des tiers en supprimant l’accès du prestataire et en établissant de nouvelles procédures en lien avec le service des archives afin que les dossiers sous format papier ne soient plus accessibles

Le 17 octobre 2013, la Commission indique par un communiqué de presse publié sur son site www.cnil.fr que le Centre Hospitalier a procédé à : « la suppression de l’accès informatique par le prestataire aux dossiers médicaux, à la formalisation d’une politique stricte de sécurité des systèmes d’information, à la suppression de l’accès par le prestataire aux dossiers médicaux des patients (informatisés ou en version papier), qui demeurent sous la seule autorité du médecin responsable de l’information médicale (DIM) de l’établissement, conformément aux textes de loi ». La CNIL précisait également avoir lancé d’autres contrôles et alerté le Ministre de la Santé sur cette pratique, insistant sur « la nécessité d’y remédier sans délai, en tenant compte des contraintes économiques auxquelles doivent faire face les établissements de santé » (Cf. http://www.cnil.fr/linstitution/actualite/article/article/mise-en-demeure-dun-centre-hospitalier-pour-non-respect-de-la-confidentialite-des-donnees-de-sa/)

*
*      *

Cette mise en demeure publiée par la CNIL constitue un indicateur fort pour l’ensemble des professionnels de la santé qui sont une nouvelle fois invités à se pencher sur leur politique en matière de protection des données à caractère personnel.

Formalités préalables, mise en place des mesures assurant l’information des personnes, déploiement d’une politique de sécurité et de confidentialité adéquates, etc. les implications de la législation informatique et libertés sont en effet nombreuses et supposent une prise en compte tant sur le plan de la gouvernance (politique d’habilitation et d’archivage adéquate, système de délégation de pouvoir encadré) que sur le plan technique et organisationnel (sécurité logique et physique, Chartes des utilisateurs des SI, politique de gestion des incidents…).

Qu’il s’agisse des Centres hospitaliers ou plus généralement de tout responsable de traitement, les enjeux juridiques attachés au respect de ces principes sont en effet majeurs dès lors que toute défaillance pourra entrainer un engagement de responsabilité sur le plan pénal auquel pourra s’ajouter une publicité particulièrement nocive en terme d’image.

Pour se prémunir de tels risques et s’assurer du respect de la loi, il est dès lors recommandé de procéder à un audit des traitements de données à caractère personnel, procédure spécifique ayant notamment fait l’objet d’un système de labellisation par la CNIL (http://www.cnil.fr/linstitution/labels-cnil/procedures-daudit/#c4795).

A l’issue de cet audit, le responsable de traitement pourra en effet disposer d’une cartographie des différents traitements mis en œuvre et des mesures et formalités à accomplir en vue de s’assurer du respect de la législation.

Vous voulez en savoir plus ? Cliquez ICI

Laisser un commentaire

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com