La réforme de l’hébergement des données de santé porte également sur les conditions d’accès aux données. Le législateur travaille ici par petites retouches, supprimant quelques mots par ci, en rajoutant d’autres par là.
La technique est classique. Elle est intéressante en ce qu’elle permet de conserver ce qui fonctionne. Mais elle peut être risquée en aboutissant à une stratification du droit et ainsi à des incohérences entre certaines strates.
Sur ces considérations légistiques, voyons les conditions d’accès aux données.
Ce qui deviendrait le 5ème alinéa de l’article L1111-8 prévoit à ce jour :
« Seuls peuvent accéder aux données ayant fait l’objet d’un hébergement les personnes physiques ou morales à l’origine de la production de soins ou de leur recueil et qui sont désignées par les personnes concernées. L’accès aux données ayant fait l’objet d’un hébergement s’effectue selon les modalités fixées dans le contrat et dans le respect des articles L. 1110-4 et L. 1111-7. »
Premier souci : « Seuls peuvent accéder (…) les personnes physiques ou morales à l’origine de la production de soins ou de leur recueil (…) ».
Gênant.
On a oublié le patient – désormais désigné en terminologie Informatique et Libertés sous le vocable de personne concernée – et ce quand bien même il serait lui-même à l’origine du dépôt ! Je vous rassure, il est réintroduit dès la phrase suivante avec la référence aux articles L1110-4 et L1111-7. Mais là encore, une rapide correction serait utile, d’autant que le 6ème alinéa du projet précise que « les hébergeurs tiennent les données (…) à la disposition de ceux qui les leur ont confiées » et qu’ils « ne peuvent les transmettre à d’autres personnes que celles qui les leur ont confiées ».
Mais ce n’est pas le plus gênant. Le plus gênant, c’est que cet alinéa, couplé au suivant, conduit à rendre impossible tout partage de données avec des données hébergées par un prestataire agréé.
Petite relecture des textes sans fioritures : « Seuls peuvent accéder aux données (…) les personnes physiques ou morales à l’origine de la production de soins ou de leur recueil » puis « Les hébergeurs tiennent les données (…) à la disposition de ceux qui les leur ont confiées. (…) Ils ne peuvent les transmettre à d’autres personnes que celles qui les leur ont confiées. »
Une lecture stricte du texte devrait donc conduire l’hébergeur à refuser l’accès à toute personne autre que le déposant.
Enfin, la réforme pourrait être l’occasion de remédier à une difficulté en germe dans le texte actuel, mais pourtant reprise par le projet de loi.
Les deux versions précisent ainsi que l’accès aux données n’est possible qu’aux professionnels et établissements de santé et médico-sociaux « qui sont désignés par les personnes concernées ». Quid si la personne concernée, qui doit être avertie de l’externalisation de l’hébergement, saisie le médecin de l’hébergeur pour s’opposer à ce que le déposant ait accès à ses données ? on voit ici ressurgir en filigrane le problème du caviardage des informations par le patient dans son DMP. Et peut-être vaudrait-il mieux y couper court tout de suite, non ?