Le Règlement général européen sur la protection des données à caractère personnel (RGPD) fut transposé dans la loi Informatique et Liberté, laquelle ne fait que reprendre le texte européen et préciser quelques points, dans la limite que le règlement laisse aux États membres de l’UE. En cas de contradiction entre un texte national et le RGPD, ce dernier s’impose au juge.
L’article L1111-7 du Code de la Santé publique (CSP) dispose notamment que « toute personne a accès à l’ensemble des informations concernant sa santé détenues, à quelque titre que ce soit, par des professionnels de santé, par des établissements de santé… ». Plus loin, il est donné quelques exemples (résultats d’examen, comptes rendus de consultation…), mais l’énumération est précédée de l’adverbe « notamment », ce qui indique que la liste n’est pas limitative. Les « correspondances entre professionnels de santé » sont expressément mentionnées, tout comme l’exception à cette règle : « les informations mentionnant qu’elles ont été recueillies auprès de tiers n’intervenant pas dans la prise en charge thérapeutique ou concernant un tel tiers ».
Ces dispositions concernent des « informations formalisées », à savoir celles auxquelles il est donné un support (écrit, photographie, enregistrement, etc.) avec l’intention de les conserver, et sans lequel elles seraient objectivement inaccessibles.
Cette formulation de l’article L1111-7 date de 2007. Elle avait alors suscité quelques étonnements et inquiétudes chez les médecins. Pour y répondre, le gouvernement prit un décret en 2012, introduisant un article R. 4127-45 dans le CSP, en 2012, disposant que :
« I — indépendamment du dossier médical prévu par la loi, le médecin tient pour chaque patient une fiche d’observation qui lui est personnelle ; cette fiche est confidentielle et comporte les éléments actualisés, nécessaires aux décisions diagnostiques et thérapeutiques.
Les notes personnelles du médecin ne sont ni transmissibles ni accessibles au patient et aux tiers.
Dans tous les cas, ces documents sont conservés sous la responsabilité du médecin.
II — À la demande du patient ou avec son consentement, le médecin transmet aux médecins qui participent à la prise en charge ou à ceux qu’il entend consulter les informations et documents utiles à la continuité des soins.
Il en va de même lorsque le patient porte son choix sur un autre médecin traitant ».
Notons que la CNIL n’a pas mis à jour sa page https://www.cnil.fr/fr/lacces-au-dossier-medical, qui date de 2013, donc postérieure au décret visant les fiches d’observation, mais antérieure au RGPD, entré en vigueur en 2018. La CNIL ignore purement et simplement l’article R. 4127-45 dans ses recommandations, reprenant mot à mot l’article L.1111-7 du CSP. Dans le « guide pratique sur la protection des données personnelles » éditée par la CNIL et le Conseil national de l’ordre des médecins, il n’est fait aucune référence aux fiches d’observation personnelles.
Cet article du CSP est-il obsolète ? Oui, a priori, puisque toute information permettant d’identifier une personne est « à caractère personnel » dans le RGPD. Cela ne signifie pas forcément que le consentement de l’intéressé soit une condition au traitement et à la transmission de ses données, mais au moins, qu’il doit en être informé afin de pouvoir exercer ses droits prévus par le règlement européen : accès à l’information, rectification en cas d’erreur, effacement dans certaines hypothèses…
Sous cet angle, il ne reste effectivement pas beaucoup de place pour les notes personnelles (ou fiches d’observation) du médecin, car dès lors qu’elles permettent d’identifier le patient, c’est à lui, et à lui seul, que s’applique le qualificatif « personnel ». Ces données sont la propriété du patient, avant d’être celles du médecin.
Pourtant, en pratique, de nombreux professionnels continuent allègrement d’utiliser des notes personnelles, parfois même intégrées (à tort !) au dossier médical ou au DPI (dossier patient informatisé) en établissement sanitaire. Que risquent-ils ?
Il est vrai que l’article R. 4127-45 du CSP autorisant les notes personnelles (du praticien) et non communicables, issu d’un simple décret, peut paraître en contradiction avec l’article L1111-7, issu d’une loi. Mais par un subtil art de l’interprétation, on peut soutenir que la loi vise le dossier médical alors que le décret concerne des notes qui n’en font pas partie. Le RGPD ne connaît pas cette nuance, même s’il laisse à chaque état de l’UE une certaine marge de manœuvre. En outre, le juge national est généralement plus sensible au droit national qu’au droit européen. S’y ajoute le fait que la coutume, et par extension les pratiques professionnelles, est aussi une source de droit, permettant au juge de contextualiser l’application de la loi.
Néanmoins, le médecin (ou l’établissement sanitaire) ne peut refuser au patient d’accéder à toutes les informations qui le concernent, dès lors qu’elles permettent de l’identifier. La mention « non communicable » entre médecins ne saurait dès lors que lui être opposée. Pour ne pas bouleverser les pratiques, a fortiori si elles sont justifiées par l’intérêt du patient, le médecin devrait a minima informer le patient de la transmission d’informations, ce que prévoit d’ailleurs le « II » de l’article R. 4127-45, issu du décret. Mais la liberté que le « I » du même article accorde aux médecins pour les notes personnelles est davantage sujette à caution, car elle heurte l’essence même du RGPD. Cela étant, même si le risque pour le praticien est encore hypothétique, la sagesse et la prudence commandent de limiter autant que faire se peut l’usage de ces notes, d’éviter qu’elles puissent contenir des informations cachées au patient, et en principe, de l’informer de leur existence.
C’est à une forme de culture de la transparence qu’il faut s’habituer, particulièrement en environnement numérique.
Raymond Taube
Directeur de l’IDP — Institut de Droit Pratique