Revenir au site

Le RGPD et les établissements de santé : révolution ou tempête dans un verre d’eau ?

Le Règlement Général européen oblige-t-il vraiment de "tout" changer ?

Le Règlement général européen sur la protection des données à caractère personnel (RGPD) génère un véritable marché où informaticiens et juristes scandent le même slogan : « jusqu’à 20 millions d’euros d’amende si vous ne respectez pas le RGPD ! » Et d’ajouter que pour s’y conformer, il faudra tout changer avant le 25 mai prochain. Alors : info ou intox ?

Il convient en préambule de préciser que nous tirons notre légitimité à répondre à cette question de vingt ans de pratique de la formation professionnelle et du conseil en secteur sanitaire, notamment au sein des hôpitaux. Cela facilite considérablement la connexion entre théorie et pratique, et permet de voir de l’intérieur ce qui fonctionne et ce qui pourrait être amélioré, en particulier pour sécuriser les données personnelles des patients et accessoirement celles des salariés, toutes visées par le RGPD. A vrai dire, et c’est là que les prestataires RGPD n’ont pas tort, la mise en conformité relève davantage d’une obligation de moyen que de résultat : en cas de fuite de données personnelles, l’hôpital ne serait pas responsable s’il a respecté les process imposés par le règlement européen. Inversement, un contrôle de la CNIL révélant une non-conformité au RGPD serait sanctionné, même en l’absence de tout incident. En théorie, du moins…

Protection des données : la France ne part pas de zéro

Contrairement à ce que l’on entend régulièrement, l’entrée en vigueur du RGPD ne constitue pas un bouleversement juridique total pour les établissements de santé. La Commission européenne s’est même inspirée de ce qui existait déjà dans certains pays de l’Union, en particulier la France. Ainsi, l’article L1111-8 du Code de la santé publique (CSP) encadre le traitement et l’hébergement de données de santé à caractère personnel, et renvoie à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Plus récemment, l’ordonnance n°2018-21 du 17 janvier 2018 a ajouté un article L1110-4-1 au CSP qui impose au secteur sanitaire, social et médicosocial de se conformer aux « référentiels d'interopérabilité et de sécurité » mentionnés à l'article L. 1111-24.

Certes, les établissements sanitaires devront cartographier les données personnelles, désigner (au niveau des GHT) un Délégué à la protection des données, établir une documentation technique et juridique, organiser des mécanismes de recueil du consentement des patients à certains partages, qui vont au-delà de la simple information avec droit d’opposition qui figure actuellement au CSP, revoir leurs procédures de signalement d’un incident affectant le système d’information, en particulier s’il impacte des données à caractère personnel… Mais ne soyons pas dupe : la CNIL n’infligera pas si facilement aux hôpitaux publics déjà en difficulté des amendes de plusieurs millions d’euros, hôpitaux qui peinent déjà à appliquer l’extraordinaire empilement de textes auxquels ils sont soumis, ne serait-ce que la loi santé de 2016 et sa cascade de décrets. Pourtant, RGPD ou pas, chaque établissement, et en son sein, chaque professionnel, devra s’imprégner d’une culture de la protection des données et du bon usage de l’outil informatique.

Revoir sa relation à l’outil informatique

La France compte environ mille hôpitaux au sein desquels officient… une cinquantaine de responsables de la sécurité des systèmes d’information parfaitement formés ! La situation est analogue ou pire dans le secteur privé et catastrophique dans le secteur médico-social. Dans de telles conditions, il ne faut pas s’étonner que les fuites de données se multiplient, souvent à la suite d’actes malveillants internes ou externes, parfois par suite d’une simple erreur ou d’un manque de sensibilisation aux bonnes pratiques informatiques. Là est sans doute l’enjeu principal : au-delà du cadre règlementaire que les établissements de santé ne peuvent ignorer en misant sur la mansuétude de la CNIL (il faut y ajouter l’ANSI, l’Agence Nationale de la Sécurité Informatique, pour des raisons que nous n’évoquerons pas ici), tous les personnels doivent être formés aux fondements de l’hygiène informatique, même dans les établissements dotés d’un directeur des systèmes d’information (DSI). D’ailleurs, les grandes entreprises victimes de piratage se croyaient toutes protégées. Mal leur en a pris. Personne ne souhaite retrouver son dossier médical sur Facebook, ni qu’il soit transmis aux compagnies d’assurance (ou aux entreprises de pompes funèbres !). Et aucun hôpital, aucune clinique, aucun laboratoire ne se réjouirait d’un chiffrement frauduleux des dossiers avec demande de rançon pour obtenir la clé de déchiffrement. Et pourtant, cela s’est déjà produit.

Sanctions de la CNIL, dommages-intérêts, poursuites pénales : le RGPD préfigure-t-il une inflation du contentieux ?

S’il faut se conformer au RGPD, ce n’est pas principalement par crainte de voir demain une armée d’inspecteurs de la CNIL déferler sur les hôpitaux qui auront su se préserver de fuites accidentelles ou malveillantes de données. Il en ira autrement de ceux qui se seront montrés négligents. Ajoutons que le RGPD et la couverture médiatique dont il jouit sont un formidable encouragement au contentieux à l’égard des patients ou salariés (et de leurs avocats !), dont les données personnelles auraient fuité ou qui auraient été partagées sans leur consentement express et éclairé. Les demandes de dommages-intérêts risquent de se multiplier, sous la menace d’une saisine de la CNIL, voire de poursuites pénales (articles 226-16 et suivants du Code pénal). Or l’article 226-16 sanctionne de cinq ans d'emprisonnement et de 300 000 euros d'amende (et même un million d’euros à la charge de la personne morale qu’est l’établissement) le fait de « procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi », et ce, même par négligence. Plus que la CNIL, ce sont les patients qui pourraient (et qui peuvent déjà) engager la responsabilité pénale de l’établissement et de son directeur pour non-respect des obligations de forme. Évidemment, il est fort peu probable que cela se produise si la confidentialité est respectée et qu’aucune donnée personnelle ne fuite. Mais comme la sécurité informatique absolue est un leurre, il y aura des fuites, tôt ou tard. Il est donc préférable de ne pas jouer avec le feu et de respecter les obligations légales et règlementaires, en particulier le RGPD, qui s’applique indépendamment des lois nationales.

Les paroles s’envolent, les écrits restent, les données numériques se transmettent…

Plutôt que d’expliquer académiquement aux établissements ce qu’ils doivent faire (il leur suffit de se connecter au site de la CNIL pour le savoir), il est préférable d’envisager avec eux les moyens pratiques de se conformer au RGPD, et les méthodes simples, mais incontournables pour réduire les risques informatiques à moindres frais (l’IDP travaille sur les bonnes pratiques pour tous avec des ingénieurs informatiques), sans que cela n’entrave la mission de l’hôpital, qui est de soigner les patients. Il ne faut jamais oublier que les paroles s’envolent, les écrits restent et se transmettent à la vitesse de l’éclair lorsqu’ils sont numériques. A l’heure de la généralisation du dossier patient informatisé (DPI) et du dossier médical partagé (DMP), les établissements devront aussi se montrer extrêmement vigilants quant au paramétrage et à la sécurité des outils numériques qui leur sont proposés par les éditeurs et à la prise en compte par les prestataires et sous-traitants informatiques des obligations du RGPD.

Raymond Taube, Directeur de l'IDP

Formation et conseil sur le RGPD et les bonnes pratiques informatiques

Suivez l'IDP sur Twitter : https://twitter.com/IDPformation