Certaines situations semblent en pratique assez faciles à gérer. Le Conseil d’Etat a ainsi considéré que faute de participer à la prise en charge du malade, un le médecin-conseil d’une assurance ne pouvait adresser son rapport à un expert judiciaire, et ce alors que le malade s’y était opposé (CE, 15 novembre 2022, n° 441387). Logique sur le plan juridique, la situation peut être traitée aisément, notamment en respectant les mesures de la « sphère de confidentialité » posée par le code de bonne conduite annexé à la convention AERAS (et qui avait été approuvée, ante RGPD, par la CNIL dans son AU-039).

Dans un hôpital, les mesures de sécurité pour prévenir l’accès illégitime au dossier médical sont bien plus délicates à définir et à implémenter. Dans une décision récemment diffusée par GDPRHub, l’autorité de protection des données espagnoles a jugé que seule la segmentation des profils était susceptible d’assurer le respect du secret médical dans l’établissement. Mais elle a exigé que les règles de contrôle d’accès implémentées tiennent compte des patients pris en charge par le professionnel, du service au sein duquel il exerce ainsi que de ses horaires de travail.

L’implémentation d’une telle mesure est un challenge. Il est difficile d’anticiper le parcours du patient et de mettre en œuvre une ouverture des droits au fur et à mesure de son évolution. Surtout si l’on tient compte de ce que le personnel soignant peut exercer dans différents services. Difficile, la tâche le devient d’autant plus avec l’exercice multisite au sein d’un GHT, par exemple.