Dossier médical, rectification et suppression de données sensibles

Des données sensibles recueillies lors de passages aux urgences

Deux ans plus tard, la patiente demande à l'Assistance publique - Hôpitaux de Paris (AP-HP), dont relèvent les deux établissements hospitaliers, de retirer certaines mentions du compte rendu médical qui la concerne. 

Devant l’échec de cette demande, elle sollicite la rectification des "données personnelles sensibles" mentionnées dans son dossier médical, notées sans qu’elle ait donné son accord. Elle réclame enfin une indemnisation financière pour atteinte à l’intimité de sa vie privée. 

Sans réponse, elle saisit le tribunal administratif, qui rejette sa demande. Elle fait appel de cette décision devant la Cour administrative d’appel. 

Que disent les textes sur la collecte des données personnelles sensibles ?

Le texte de référence est le Règlement Général sur la Protection des Données du Parlement européen et du Conseil du 27 avril 2016 (RGPD) qui pose des principes protecteurs en matière de données personnelles.

Mais pour celles qui sont portées dans un dossier médical, des exceptions sont prévues et ces principes doivent se concilier avec d’autres textes, notamment issus du Code de la santé publique.  

Que dit le RGPD sur la collecte des données personnelles sensibles ? 

Le RGPD, applicable en France depuis 2018, pose plusieurs principes :

• La règle générale est que le traitement de données concernant la santé, la vie sexuelle ou l'orientation sexuelle d'une personne physique est interdit. 

Dans l’affaire que nous évoquons, la Cour administrative d’appel rappelle ces règles. Elle en déduit qu’il ne peut être reproché aux deux hôpitaux d’avoir collecté et traité des informations personnelles sensibles dans le dossier médical de la patiente.

Que dit l’article R.1112-2 du Code de la santé publique ?

Cet article fait obligation aux établissements de santé, publics comme privés, de constituer un dossier médical pour chaque patient hospitalisé. Ce dossier doit comporter les informations formalisées recueillies lors des consultations externes, de l'accueil aux urgences, de l'admission et du séjour hospitalier, parmi lesquelles : 

• les raisons qui ont motivé l’hospitalisation ; 
• les antécédents médicaux et les facteurs de risques ;
• les conclusions de l'évaluation clinique initiale ; 
• les informations recueillies auprès de tiers n'intervenant pas dans la prise en charge thérapeutique ou concernant de tels tiers : il peut ainsi s’agir de données sur l’entourage familial du patient.  

Dossier médical et demande d'effacement des données

Le patient ne peut demander l’effacement des données de santé qui figurent dans son dossier médical.

En effet, la tenue d’un dossier médical est une obligation légale qui ne pourrait être satisfaite si le professionnel de santé avait l’obligation de supprimer les données qu’il contient à la demande du patient.

Il ne pourrait notamment plus se défendre en cas de mise en cause de sa responsabilité. 

Dossier médical et demande de rectification des données

Une demande de rectification des éléments portés dans le dossier médical est toujours possible. 

Souvent, l’objectif est de corriger des inexactitudes factuelles, comme une erreur dans un nom, une adresse ou encore une donnée administrative.   

En revanche, quand la demande porte sur la rectification d’un ou de plusieurs éléments qui ont permis d’apprécier l’état de santé ou de poser un diagnostic, le professionnel de santé reste libre d’y faire droit ou non. Ce n’est que dans des cas très exceptionnels qu’il peut accéder à cette demande. 

Dossier médical et information sur le droit de rectification des données

Même si toutes les demandes d’effacement et de rectification ne s’imposent pas au responsable du traitement des données, le RGPD l’oblige à fournir à la personne concernée les informations nécessaires sur son droit à formuler de telles demandes.