Accès à son dossier médical et contrôle sur ses données de santé

Le dossier médical est défini comme un document sécurisé et pérenne regroupant, pour chaque patient, l’ensemble des informations le concernant, informations médicales (nature des soins dispensés, conditions et circonstances et résultats obtenus) mais, aussi, socio-administratives ou autres, utiles à une prise en charge et au suivi de la santé. Fiable et exhaustif, son contenu doit permettre de faire de ce dossier un outil d’analyse, de synthèse, de planification, d’organisation, de traçabilité des soins et de l’ensemble des prestations dispensées au patient. Son accès est régi par les règles du secret professionnel, c’est-à-dire que seules les personnes participant effectivement à la prise en charge du patient peuvent y avoir accès, sauf restriction particulière supplémentaire souhaitée par le malade.

Depuis les années 1990, les patients, en particulier à travers leurs associations représentatives, expliquaient qu’ils rencontraient de grandes difficultés dans l’accès à leur dossier médical.

Or il se trouve qu’être détenteur des éléments de son dossier médical est essentiel dans le parcours de soins. Les situations où le patient a besoin de ces éléments sont fréquentes : un départ en vacances de longue durée, un déménagement, une profession occasionnant des séjours loin de son domicile, mais aussi le droit de solliciter un autre avis d’un professionnel ou d’un centre de référence concernant sa prise en charge (droit au double avis).

C’est pourquoi, la « Charte du patient hospitalisé » reconnaissait, dès 1995, le droit des patients à une communication pleine et entière des données médicales le concernant.

Durant les États généraux de la santé, en 1999, la volonté des patients d’être davantage impliqués dans la gestion de leur santé et d’accéder facilement à leur dossier avait été largement exprimée. Peu après, une enquête d’opinion révélait que près de 9 Français consultés sur 10 se prononçaient pour la liberté d’accès à leur dossier médical. En même temps, des voix s’élevaient pour dénoncer les difficultés et parfois conflits que pouvaient générer les entraves, volontaires ou non, apportées à cette liberté d’accès au dossier médical : dossiers incomplets, lenteur administrative, mauvaise volonté, etc.

C’est pourquoi la loi du 4 mars 2002 a prévu qu’au cours des soins ou postérieurement, le patient puisse avoir accès aux éléments de son dossier médical, directement ou par l’intermédiaire d’un médecin qu’il désigne. Ce droit d’accès concerne les informations « qui sont formalisées ou ont fait l’objet d’échanges écrits entre professionnels de santé, notamment des résultats d’examen, comptes rendus de consultation, d’intervention, d’exploration ou d’hospitalisation, des protocoles et prescriptions thérapeutiques mis en œuvre, feuilles de surveillance, correspondances entre professionnels de santé, à l’exception des informations mentionnant qu’elles ont été recueillies auprès de tiers n’intervenant pas dans la prise en charge thérapeutique ou concernant un tel tiers » (art. L.1111-7 du CSP).

Cette dimension est réévoquée par la loi du 13 août 2004 relative à l’assurance-maladie dont les attendus rappellent que l’accès au dossier médical permet de « favoriser la coordination, la qualité et la continuité des soins, gage d’un bon niveau de santé… »

Il est précisé par ailleurs que, sous réserve que le patient n’y ait pas fait opposition de son vivant, ses ayants droit peuvent aussi avoir accès à certaines informations « dans la mesure où elles leur sont nécessaires ». Cependant, cette disposition n’abolit pas le secret dû au patient après son décès : les médecins doivent être très attentifs d’une part à respecter une éventuelle opposition formulée par un patient de son vivant mais aussi, quoi qu’il en soit, à ne transmettre que les informations pertinentes pour permettre aux ayants droit de faire valoir un ou des intérêts légitimes (connaître la cause du décès dans un intérêt médical, défendre la mémoire du défunt, faire valoir leurs droits) et de ne transmettre que des informations nécessaires et non excessives, dans le respect de la mémoire et de l’image du défunt.

En pratique, une fois la demande d’accéder à son dossier formulée par la personne, un délai de réflexion de 48 heures doit être respecté pour lui laisser la possibilité éventuelle d’infirmer sa demande. Ensuite, la structure ou le médecin sollicités disposent de 6 jours (soit un total de 8 jours après la demande) pour communiquer le dossier. Si les données remontent à plus de 5 ans, ce délai est porté à 2 mois. La gratuité de l’accès aux données est un principe inscrit dans la loi, à l’exception des coûts de reproduction et d’envoi.

La possibilité est reconnue, à une personne de confiance désignée par le patient, de l’accompagner dans ses démarches de consultation de son dossier médical, comme dans ses démarches de soins.

Doivent être ainsi mises à la disposition du patient qui les demande toutes les informations ayant contribué à l’élaboration et au suivi, diagnostique et thérapeutique, des soins, ou à une action de prévention, les comptes rendus de consultation et d’hospitalisation, les protocoles suivis et les prescriptions thérapeutiques mises en œuvre, les résultats d’examens, ainsi que les correspondances entre professionnels de santé. Il faudrait y ajouter, pour être complet, tous les aspects médico-sociaux de prise en charge par le médecin, telles que les orientations vers les intervenants sociaux et les reconnaissances du statut de handicap MDPH – Maisons départementales des personnes handicapées (dossier rédigé pour les maisons départementales du handicap) ou de maladie chronique ou sévère, dans le cadre des ALD (Affections de longue durée) donnant ouverture de droits spécifiques par la sécurité sociale.

Toute personne a droit au respect de sa vie privée, les données de santé en faisant partie intégrante. Tout professionnel de santé et tout établissement de soins garantit la confidentialité des informations qu’il détient sur les personnes (informations médicales, données administratives, sociales et financières).

Ces informations sont couvertes par le secret professionnel. Elles peuvent être partagées entre soignants uniquement dans la mesure où elles sont utiles à la continuité des soins visant à la meilleure prise en charge possible. En établissement de santé, ces données sont réputées avoir été confiées par la personne hospitalisée à l’ensemble de l’équipe de soins qui la prend en charge. La violation du secret à travers la divulgation de données concernant un patient engage des responsabilités pénales et civiles.

En pratique, le stockage et la gestion des données médicales passent dans la plupart des lieux de soins et de recherche médicale par des systèmes informatisés. La protection des citoyens et le respect de la confidentialité lors de l’informatisation des données personnelles sont régis par la loi, en particulier celle de 1978, dite loi « informatique et liberté », à travers la CNIL (Commission nationale informatique et libertés).

Les procédures d’agrément des systèmes informatiques en santé impliquent le respect de règles de sécurisation des données (codes d’accès et cryptage), d’interdiction d’usage à d’autres fins que médicales, d’interdiction de partage avec tout tiers ne participant pas à la prise en charge d’un patient, d’interdiction d’utilisation à des fins commerciales, politiques ou autres.

Ces obligations s’imposent à tous les professionnels de santé mais aussi aux établissements de soins, aux réseaux de santé et hébergeurs de données.

Une déclaration doit être faite auprès de la CNIL lorsque le principe de la création de dossiers ou de fichiers informatisés est envisagé. De plus, le patient doit être explicitement informé de l’informatisation de ses données et de son droit de s’y opposer, sans qu’il n’ait à apporter aucune justification et sans que cela ne nuise au reste de sa prise en charge.

Toute personne peut obtenir communication, modification (droit de rectification) ou suppression des informations la concernant en s’adressant aux responsables de l’établissement ou du cabinet médical. Elle peut aussi demander des restrictions concernant les personnes habilitées à y avoir accès. Tous ces choix du patient doivent être pris en compte.

Qu’un dossier soit uniquement local ou en réseau, les données saisies et la tenue du dossier relèvent de la responsabilité médicale. Chacun a sa part de responsabilité, au sens éthique comme au sens juridique et, en cas de litiges, seul(s) le (ou les) professionnel(s) concerné(s) par la partie du dossier incriminée peu(ven)t être mis en cause. Ce qui implique pour tous une grande vigilance, aussi bien dans leurs comptes rendus et leurs notes que dans la protection de l’accès aux dossiers, via leur système de codage et/ou leur carte informatique CPS (Carte de professionnel de santé).

Cette possibilité est ouverte après information du patient qui doit là aussi pouvoir exercer son droit d’opposition.

Les recherches, études et évaluations n’impliquant pas la personne humaine, qui portent en particulier sur la réutilisation de données ou d’échantillons. Cette réutilisation de données concerne celles qui sont déjà collectées au sein de bases existantes (cohortes, observatoires, registres, dossiers médicaux…) ainsi que les bases médico-administratives. L’ensemble de ces recherches, études et évaluations doivent faire l’objet d’une demande d’autorisation auprès du Comité d’Expertise pour les Recherches, les Etudes et les Evaluations dans le domaine de la Santé (CEREES) puis d’une autorisation de la CNIL.

Ces dispositions s’appliquent aussi à la réutilisation d’échantillons issus de biocollections et/ou des bases de données cliniques associée.

La demande préalable à toute recherche nécessitant un tel usage de données ou de fichiers doit être effectuée auprès du Comité d’Expertise pour les Recherches, les Etudes et les Evaluations dans le domaine de la Santé (CEREES) qui a remplacé le Comité consultatif sur le traitement de l’information en matière de recherche dans le domaine de la santé (CCTIRS).

La loi du 26 janvier 2016 de modernisation de notre système de santé prévoit, dans son article 193, que la Commission Nationale de l’Informatique et des Libertés (CNIL) autorise les études et évaluations et les recherches n’impliquant pas la personne humaine après avis du CEREES. Cet avis facilite l’instruction du dossier par la CNIL, en l’éclairant sur les aspects méthodologiques et scientifiques du dossier. Plus précisément, le CEREES émet un avis sur la méthodologie retenue, sur la nécessité du recours à des données à caractère personnel, sur la pertinence de celles-ci par rapport à la finalité du traitement et, s’il y a lieu, sur la qualité scientifique du projet. Le cas échéant, le comité recommande aux demandeurs des modifications de leur projet afin de le mettre en conformité.

Après avoir pris connaissance du projet de recherche, ce comité émet un avis, qu’il transmet à la CNIL, sur la méthodologie de la recherche, la nécessité du recours ou non à des données nominatives et la pertinence de celles-ci par rapport à l’objectif de la recherche. Puis la Commission nationale de l’informatique et des libertés rend un avis transmis au demandeur.

Lorsque des données permettent l’identification des personnes, elles doivent être codées avant leur transmission. Toutefois, il peut être dérogé à cette obligation, pour une durée limitée, lorsque le traitement de données nominatives est indispensable et justifié par la méthodologie (exemple suivi de pharmacovigilance).