Le droit du patient : un sujet en question à l’heure des systèmes de santé
Les droits du patient ont été redéfinis par la loi du 4 mars 2002, dite « Loi Kouchner ». Elle met en relief, notamment à l’heure des systèmes connectés, non seulement la protection du patient, mais aussi de ses données.
Dans son chapitre préliminaire, aux articles relatifs aux « droits de la personne », la loi Kouchner définit un certain nombre de principes qui permettent de protéger le patient et de garantir aussi la protection de ses données. Elle pose, dans son article L. 1110-2, comme principes fondateurs que « la personne malade a droit au respect de sa dignité. », et que (Art. L. 1111-2). : « toute personne a le droit d'être informée sur son état de santé. »
Le respect de la vie privée du malade comme principe fondateur
En ce qui concerne la protection du secret des informations des données de santé, et le secret médical, le principe est posé dans l’article L 1110-4 de la loi : « Toute personne prise en charge par un professionnel, un établissement, un réseau de santé ou tout autre organisme participant à la prévention et aux soins a droit au respect de sa vie privée et du secret des informations la concernant.
« Excepté dans les cas de dérogation, expressément prévus par la loi, ce secret couvre l'ensemble des informations concernant la personne […] Il s'impose à tout professionnel de santé, ainsi qu'à tous les professionnels intervenant dans le système de santé. […] Lorsque la personne est prise en charge par une équipe de soins dans un établissement de santé, les informations la concernant sont réputées confiées par le malade à l'ensemble de l'équipe ». Le principe de la confiance du patient dans l’équipe soignante et du secret des données médicales le concernant est ainsi posé. C’est central pour notre sujet : le patient doit pouvoir avoir confiance dans l’équipe de santé concernant le traitement de ses données. Sans cette notion de confiance, aucun système de santé ne peut traiter des données du patient. La notion de consentement du patient et de sa confiance sont primordiales.
La nécessaire information du patient sur ses données de santé
Le principe de l’information du patient sur ses données de santé est ainsi défini : l’article L. 1111-7 du code de la santé publique explique ainsi que « toute personne a accès à l'ensemble des informations concernant sa santé détenues, à quelque titre que ce soit, par des professionnels et établissements de santé […], notamment des résultats d'examen, comptes rendus de consultation, d'intervention, d'exploration ou d'hospitalisation, des protocoles et prescriptions thérapeutiques mis en oeuvre, feuilles de surveillance, correspondances entre professionnels de santé […]. Elle peut accéder à ces informations directement ou par l'intermédiaire d'un médecin qu'elle désigne […] ».
La transmission ou la conservation de ces données par voie informatique est expressément mentionnée : « Afin de garantir la confidentialité des informations médicales mentionnées aux alinéas précédents, leur conservation sur support informatique, comme leur transmission par voie électronique entre professionnels, sont soumises à des règles définies par décret en Conseil d'Etat pris après avis public et motivé de la Commission nationale de l'informatique et des libertés […]. Le fait d'obtenir ou de tenter d'obtenir la communication de ces informations en violation du présent article est puni d'un an d'emprisonnement et de 15 000 EUR d'amende. »
L’hébergement des données de santé à caractère personnel nécessite un agrément dont les conditions sont précisées par le décret n°2006-6 du 4 janvier 2006 . « Les traitements de données de santé à caractère personnel que nécessite l'hébergement […], quel qu'en soit le support, papier ou informatique, doivent être réalisés dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ».
Enfin, la prestation d’hébergement des données de santé et les sanctions en cas de manquement sont expressément prévue dans le chapitre V (« Dispositions Pénales ») de la loi. Il est ainsi prévu (Art. L. 1115.1) que «la prestation d'hébergement de données de santé à caractère personnel recueillies auprès de professionnels ou d'établissements de santé ou directement auprès des personnes qu'elles concernent sans être titulaire de l'agrément prévu par l'article L. 1111-8 ou de traitement de ces données sans respecter les conditions de l'agrément obtenu est puni de trois ans d'emprisonnement et de 45 000 EUR d'amende ».