La décision de la CNIL du 25 septembre 2013 a mis en demeure le Centre Hospitalier de St Malo pour non respect de la confidentialité des données de santé des patients.

Suite à une procédure de contrôle, il a été constaté qu’un prestataire extérieur a pu accéder, avec le concours de l’établissement, aux dossiers médicaux de près de 1000 patients, en méconnaissance du Code de la Santé Publique et de la loi Informatique et Libertés.

La protection des données médicales

Le Code de la Santé Publique précise que les établissements publics de santé publics et privés doivent procéder à l’analyse de leur activité pour détecter d’éventuelles erreurs dans le codage dans la nomenclature des actes remboursés par l’assurance maladie.

D’autre part, l’article 34 de la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés indique que le responsable du traitement des données est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Si l’établissement fait intervenir un prestataire extérieur, la CNIL doit donner son accord pour protéger les données nominatives des patients, en cas de traitements de données à caractère personnel à des fins d’évaluation ou d’analyse des activités de soins et de prévention.

Cette autorisation de la CNIL a pour but le respect du secret médical et des droits des malades pour empêcher que des tiers non autorisés puissent y avoir accès.

La mise en demeure de la CNIL

Ces manquements de l’hôpital de St Malo ont conduit la CNIL à mettre en demeure le Centre hospitalier de Saint-Malo de veiller à ce que les dossiers des malades ne puissent pas être accessibles par des tiers, notamment par les prestataires choisis pour l’optimisation du codage.

La CNIL indique que cette mise en demeure n’est pas une sanction mais que le Centre Hospitalier de St Malo doit faire cesser les manquements constatés dans un délai de 10 jours et a décidé de rendre cette décision publique sur son site internet.

De plus, d’autres contrôles étant en cours dans d’autres établissements hospitaliers, la CNIL a attiré l’attention de la ministre de la santé et des fédérations hospitalières sur ces pratiques pour et y remédier sans délai.

Le 17 octobre 2013, la CNIL a précisé qu’elle clôturait la procédure de mise en demeure à l’encontre du Centre Hospitalier.

En effet, l’établissement a mis place plusieurs mesures, dont :

- la suppression de l’accès informatique par le prestataire aux dossiers médicaux

- la formalisation d’une politique stricte de sécurité des systèmes d’information

- la suppression de l’accès par le prestataire aux dossiers médicaux des patients

Pour aller plus loin

Lire l’article sur : l’avis de la CADA du 25 juillet 2013 donne un avis favorable à la communication du dossier médical d’un patient par émail

Lire l’article sur : la délibération du 3 janvier 2013 de la CNIL interdit la vidéosurveillance permanente de salariés sur les lieux de travail

Lire l’article sur : le secret professionnel médical ou professionnel des agents et praticiens dans la fonction publique hospitalière

Lire l’article sur : les modalités d’hospitalisation en psychiatrie : hospitalisation libre – hospitalisation à la demande d’un tiers – hospitalisation d’office sur décision d’un représentant de l’État

Lire l’article sur : un employeur ne peut pas surveiller les salariés avec un logiciel de Keylogger : Un test d’installation avec les touches CTRL ALT F9

Lire l’article sur : un patient en hospitalisation libre en psychiatrie est libre d’aller et venir sans contrainte

Lire l’article sur : un établissement hospitalier doit communiquer le dossier médical d’un patient décédé à ses ayants droits

Lire l’article sur : la contestation d’une décision administrative : Le recours gracieux – Le recours en annulation ou plein contentieux devant le Tribunal Administratif

© La rédaction – infosdroits

Consulter le site de la CNIL