Alors que la loi habilitant le Gouvernement à simplifier les relations entre l’administration et les citoyens, destinée à introduire la dématérialisation des échanges dans ces relations, n’a été adoptée que le 12 novembre 2013 (n° 2013-1005), la Commission d’Accès aux Documents Administratifs (CADA) a rendu le 27 juillet 2013 un avis « Centre Hospitalier Universitaire de Bordeaux » (n° 20131540) posant le principe selon lequel l’hôpital ne peut s’opposer à la communication électronique au patient de son dossier médical.
Dans cette affaire, le directeur de l’établissement avait donné un accord de principe quant à cette communication, mais s’était opposé à une transmission par email, eu égard aux dispositions de l’article 34 de la loi n° 78-17 du 6 janvier 1978, dite loi Informatique et Libertés et aux recommandations de la CNIL sur le traitement des données de santé à caractère personnel (Délib. n° 97-008 du 4 février 1997 ).
La CADA n’a pas craint de balayer cet argumentaire et de dire injustifié le refus du directeur en indiquant que :
– le dossier médical de l’intéressé ne pouvait pas s’analyser ni comme un traitement de données automatisé, ni comme un fichier ;
– les recommandations de la CNIL sur l’utilisation exclusive de « messageries professionnelles sécurisées et recourant au chiffrement des données » ne sont pas impératives et ne sauraient être utilisées pour s’opposer à la communication du dossier par email (l’absence de référence aux articles R1110-1 et suivants du Code de la Santé Publique et à la Messagerie Sécurisé de Santé est étonnante, non?).
Quant à l’impératif de confidentialité des données, la CADA a précisé que l’hôpital était seulement tenu d’informer le patient des risques inhérents à ce procédé de communication et qu’il lui restait « loisible (…) de recourir pour l’envoi des documents en cause par courrier électronique (…) à leur chiffrement« . sic !
Comment interpréter cet avis ?
Rappelons tout d’abord qu’il ne s’agit justement que d’un avis. L’établissement n’est pas tenu de s’y conformer, seul le Tribunal Administratif pouvant lui enjoindre de donner suite à la demande.
Quant la transmission en clair des données, on ne saurait trop que la déconseiller.
Certes, les dispositions du Code de la Santé Publique relative aux échanges de données de santé entre professionnels de santé ne sont pas applicables. Le patient n’est pas un professionnel de santé, de sorte que cette communication échappe au décret « Confidentialité« .
En revanche, le secret professionnel est une obligation d’ordre général dont les professionnels et établissements de santé ne peuvent être déliés par leur patient. De même, rien ne leur permet de passer outre l’article 34 de la loi Informatique et Libertés, qui impose au responsable de traitement d’assurer la confidentialité et la sécurité des données de santé.
En cas de diffusion des données sur Internet, l’établissement de santé donnant suite à une telle décision s’exposerait donc à des poursuites pénales sans pouvoir exciper de l’avis de la CADA, qui ne constitue en aucun cas un « fait justificatif« .
Alors quelle conclusion en tirer ? Méconnaissance des textes ou vraie volonté d’exclure l’application de la loi Informatique et Libertés ? Rappelons en effet que « le droit à communication des documents administratifs institué par la loi du 17 juillet 1978 [instituant la CADA] ne peut s’exercer que dans la mesure où les dispositions de la loi du 6 janvier 1978 [instituant la CNIL] » (CE, 19 mai 1983, n° 40680).