Le dossier patient informatisé (DPI) n’a pas un fondement juridique unique. Aucune loi ne le définit. En revanche, sa constitution, sa consultation, sa conservation et son archivage, et bien entendu la transmission des informations qu’il contient, au patient lui-même (et à ses parents s’il est mineur) comme entre professionnels, doivent satisfaire un enchevêtrement d’obligations légales, auxquelles s’ajoute le Règlement européen sur la protection des données à caractères personnel (RGPD), intégré à la loi Informatique et Libertés.
Le socle juridique national (hors RGPD) du DPI est d’abord la législation sur le secret professionnel et son partage. Un véritable casse-tête qu’aucun établissement sanitaire n’applique « à la lettre », ce dont les pouvoirs publics ont pris conscience en modérant par arrêté les inextricables contraintes du « secret partagé ».
D’un point de vue opérationnel, le DPI a de nombreux atouts : outil au service du « parcours de soins », en particulier dans le cadre des Groupements Hospitaliers de Territoire (GHT), continuité du suivi médical, médico-social et administratif du patient et amélioration de qualité et de la sécurisation des soins, absence de redondances et réduction du risque d’erreur, facilitation du développement de la e-santé et alimentation en données des algorithmes d’intelligence artificielle…
Mais cette généralisation de « l’hôpital numérique » n’est pas sans inconvénient ni sans danger : contrôle par l’administration des pratiques professionnelles, dépendance à l’outil numérique, évolution (parfois déshumanisation) des relations entre patients et équipe de soins, et bien sûr, risque de pertes ou vol des données personnelles.
Le secret professionnel est un des sujets sensible et important, mais en définitive d’une gravité moindre que celle de la sécurité informatique des données des patients (et accessoirement des salariés et agents). Violer sciemment le secret professionnel est en effet rare, et n’affecte en général que le patient qui en est victime. Le risque d’inscrire au DPI, par erreur, une information qui n’avait pas vocation à y figurer, est plus important, mais ses effets restent relativement limités. En revanche, le risque informatique est majeur, car ce sont des milliers de dossiers (ou un seul dossier d’un notable !) qui peuvent se retrouver entre de mauvaises mains. Dans un entretien accordé au Monde.fr en 2016, Cedric Cartau, responsable sécurité des systèmes d’information au centre hospitalier universitaire (CHU) de Nantes et Pays de la Loire, soulignait : « Il y a environ mille hôpitaux en France, mais à peine cinquante responsables sécurité des systèmes d’information. La situation n’est pas plus enviable dans les structures privées, et c’est encore pire dans le médico-social. Dans 95 % des cas, il n’y a personne pour se préoccuper de sécurité informatique. ». Contrairement à une idée reçue, la sécurité informatique, en particulier s’agissant du DPI, est autant l’affaire de l’utilisateur final (équipe de soins et administratifs) que du responsable informatique. Les grandes administrations et entreprises victimes de piratage avaient toutes des responsables informatiques compétents. Et pourtant…
Raymond Taube
Formations sur le DPI et le secret partagé en Ets sanitaire (notamment) :
https://www.idp-formation.com