Aspects Juridiques & Traitement de l’Information en Santé D JJeanDr Jean-Charles Ch l D Dufour f LERTIM, Faculté de Médecine Timone Timone,, Université de la Méditerranée, Marseille mars 2009 PLAN Notions générales de droit Les principaux textes Droits & devoirs du patient / des professionnels Traitement T it t des d iinformations f ti Une synthèse des obligations légales Préconisations en matière de sécurité Généralité : Hiérarchie du droit Droit international Traités, accords Droit communautaires Règlements, décisions, directives,… Droit national Constitutions, Co st tut o s, lo lois, s, règlements, ègle e ts, … Droit communautaire Recommandations et avis pas de caractère obligatoire Règlements obligatoires dans tous ses éléments applicables dans tout état membre Décisions obligatoire dans tous ses éléments applicable li bl pour lles d destinataires i i dé désignés i é Directives fixent des objectifs forme et moyens sont sous compétence nationale Droit national Textes à valeur constitutionnelle Constitution Déclaration des droits de ll’homme homme et du citoyen Lois organiques (complètent la constitution) Textes à valeur législative Lois adoptées par le Parlement (Assemblée + Sénat) Lois adoptées par référendum (concerne organisation des pouvoirs publics ou la ratification de traités) Droit national Textes à valeur réglementaire (peuvent être contestés devant un juge administratif) Ordonnances Règlements Dé Décrets (président, premier ministre, conseil des ministres, conseil d’état) Arrêtés (ministériel, (ministériel interministériel interministériel, préfectoral préfectoral, municipal) Décisions réglementaires (préfet, maire, département, région) A propos des codes Code = unification de textes de lois éparts Exemples : Code de la Santé Publique Code C d civil i il Code pénal Code du travail Code de la route Etc… Quelques pistes pour en en savoir i plus… l Legifrance (http://www.legifrance.gouv.fr http://www.legifrance.gouv.fr)) Rubrique « A propos du droit » Site vievie-p publique.fr q (http://www.vie http://www.vie--publique.fr publique.fr)) Rubrique « Découverte des institutions et de la vie publique » Animation « l’élaboration de la loi » (http://www.vie http://www.vie--publique.fr/decouverte_instit/animations/loi/Anim3.htm publique.fr/decouverte_instit/animations/loi/Anim3.htm)) Textes considérés Droits & devoirs du patient / des professionnels Traitement des informations Art. 9 du code civil (respect de la vie privée) Art. 226 226--1 à 226226-7 du code pénal L i 2002 Loi 2002--303 du d 4 mars 2002 Art. 4 du code de déontologie médicale (secret professionnel) Art. 226 226--13 du code pénal p Art. 35 du code de déontologie médicale (devoir d’information) Loi 7878-17 du 6 janvier 1978 et lois postérieures l’ayant modifiée Art. 226 226--16 à 226226-24 du code pénal (disposition particulière pour les données relatives à la Santé) Organisation du système de Santé Loi 2004 2004--810 du 13 août 2004 relative à ll’assurance assurance maladie Protection de la vie privée Article 9 du code civil : « Chacun à droit au respect de sa vie privée » Pas de définition légale de la vie privée S Sanctions ti civiles i il (mais jurisprudence inclus incontestablement les données de santé comme des facettes de la vie privée) Juges peut prendre toute mesures propres à empêcher ou faire cesser une atteinte à la vie privée Radiation des droits civiques Fortes amendes Sanctions pénales (art. 226 226--1 à 226226-7 du code pénal) 1 an d’emprisonnement p et 45 000 € d’amende Loi 20022002-303 du 4 mars 2002 relative aux droits du malades et à la qualité du système de santé Deux séries de dispositions : Réaffirmation du droit général du patient à être i f informé é La participation active du patient requiert son i f information ti Définissions des conditions d’accès à l’ f l’information médicale éd l Conditions favorables à l’informatisation (hébergement d d de données) é ) Loi 20022002-303 du 4 mars 2002 relative aux droits du malades et à la qualité du système de santé Réaffirme le respect de la vie privée et le caractère secret des informations médicales É Échanges d’informations entre professionnels est p possible afin d’assurer la continuité des soins et déterminer la meilleure prise en charge g Conservation et transmission d’information sur supportt iinformatique f ti sontt soumises i àd des règles fixées par décret en Conseil d’Etat Loi 20022002-303 du 4 mars 2002 relative aux droits du malades et à la qualité du système de santé Droit d d’accès accès (direct ou indirect) aux informations concernant sa santé 48h – 8 jours si info < 5 ans 48h - 2 mois si info > 5 ans Composition du dossier médical (Article R1112 R1112--2 du Code de la Santé Publique) a)) La lettre d'admission b) Les motifs d'hospitalisation c) La recherche d'antécédents d antécédents et de facteurs de risques d) Les conclusions de l'évaluation clinique initiale e) Le type de prise en charge prévu et les prescriptions effectuées à l'entrée f) La nature des soins dispensés et les prescriptions établies lors de la consultation externe ou du passage aux urgences g) Les informations relatives à la p prise en charge g en cours d'hospitalisation : état clinique, soins reçus, examens paraparacliniques, notamment d'imagerie h) Les L informations i f ti sur lla dé démarche h médicale édi l Composition du dossier médical (Article R1112 R1112--2 du Code de la Santé Publique) i)) Le dossier d'anesthésie j) Le compte rendu opératoire ou d'accouchement k) Le consentement écrit du patient si requis l) La mention des actes transfusionnels pratiqués sur le patient m) Les éléments relatifs à la prescription médicale, médicale à son exécution et aux examens complémentaires n) Le dossier de soins infirmiers o) Les informations relatives aux soins dispensés par les autres professionnels de santé p p) Les correspondances échangées entre professionnels de santé Composition du dossier médical (Article R1112 R1112--2 du Code de la Santé Publique) q) Le compte rendu d'hospitalisation d hospitalisation et la lettre rédigée à l'occasion de la sortie r) La prescription de sortie et les doubles d'ordonnance d ordonnance de sortie s) Les modalités de sortie (domicile, (domicile autres structures) t) La fiche de liaison infirmière. Conservation du dossier médical Délais de prescription : Procédure pénale Contravention : 1 an Délits : 3 ans Crimes : 10 ans à compté des faits reprochés Procédure indemnitaire (administrative/public, civile/privé) 10 ans à compté de la consolidation (idem public/privé depuis loi du 4 mars 2002) Procédure ordinale Tant que dure l’inscription au tableau [Germain DECROIX, www.univadis.fr] Conservation du dossier médical Délai de demande du dossier par les patients ou leurs ayants droit La loi du 4 mars 2002 n’a pas fixé de limite décret du 4 janvier 2006 : Conservation dossiers médicaux : 20 ans (jusqu’au 28ème anniversaire si patient mineur) Dossier informatisé support et format de stockage g doivent permettre p de lire les données après plusieurs dizaines d’années [Germain DECROIX, www.univadis.fr] Loi 20022002-303 du 4 mars 2002 relative aux droits du malades et à la qualité du système de santé La loi prévoit l’hébergement l hébergement de données médicales Conditions d’agrément des hébergeurs sont fixées par décret (cf. (cf décret n° n°2006 2006--6 du 4 janvier 2006) Code de déontologie g médicale « Le secret professionnel, professionnel institué dans l’intérêt des patients, s’impose à tout médecin éd i dans d les l conditions diti ét établies bli par lla loi. Le secret couvre tout ce qui est venu à la connaissance du médecin dans l’exercice de sa profession, c’estcc’est est-à-dire non seulement ce qui lui a été confié, mais aussi ce qu’il a vu, entendu ou compris. compris » (Art. (Art 4) Code de déontologie médicale Le secret professionnel doit être garanti par le médecin (art. 4) et ses collaborateurs (art. 72) Le médecin doit protéger l’accès l accès aux documents médicaux « quels que soient le contenu t ett le l supportt d de ces d documents t » (art. 73) Article 226 226--13 du code pénal « La révélation d d’une une information à caractère secret par une personne qui en est dé it i soit dépositaire it par état ét t ou par profession, f i soit en raison d’un fonction ou d’une mission temporaire, est punie d’un an d’emprisonnement d emprisonnement et de 15 000 € d’amende » Information au patient C d d Code de dé déontologie l i médicale édi l Art. 35 du code de déontologie médicale : Art « Le médecin doit à la personne qu'il examine, qu'il soigne ou qu'il qu il conseille une information loyale, loyale claire et appropriée sur son état, les investigations et les soins qu'il qu il lui propose [[…]] Toutefois, […] dans l'intérêt du malade et pour des raisons légitimes que le praticien apprécie en conscience, un malade peut être tenu dans l'ignorance l ignorance d'un d un diagnostic ou d'un d un pronostic graves graves, sauf dans les cas où l'affection dont il est atteint expose les tiers à un risque de contamination. contamination » Loi 20042004-810 du 13 août 2004 relative à l’assurance maladie Modifie code SS et SP Instaure un DMP Volet prévention (explicitement mentionné dans la loi) Convention avec professionnels de santé est subordonné à la consultation et la mise à jour Niveau de prise en charge par l’assurance maladie est subordonné à l’autorisation l autorisation, donnée par le patient aux professionnels de santé, de consulter le DMP Loi 20042004-810 du 13 août 2004 relative à l’assurance maladie Article 2 : « Afin de garantir la confidentialité des informations médicales [ ] lleur conservation […], ti sur supportt informatique, comme leur transmission par voie électronique entre professionnels, sont soumises à des règles définies par décret en Conseil d’Etat pris après avis public et motivé de la Commission nationale de l’informatique et des libertés […] » Loi 20042004-810 du 13 août 2004 relative à l’assurance maladie Instaure un médecin traitant par assuré Instaure une carte d d’assuré assuré avec un volet « urgence » et une photo Assoit le rôle des réseaux et de la télémédecine dans la prise en charge Loi 7878-17 du 6 janvier 1978 (modifié par la loi 20042004-801 du 6 août 2004) relative à l’informatique, aux fichiers et aux libertés Bref historique : 1974 : La révélation par « le Monde » du projet SAFARI fait scandale Loi du 6 janvier 1978 protection du citoyen visvis-à-vis du traitement de ses données nominatives Loi 9494-548 du 1er juillet 1994 introduit de nouvelles dispositions pour les données destinées à la recherche en santé Loi 9999-641 du 27 juillet 1999 (art.41) introduit des nouvelles dispositions p p pour les données destinées à l'évaluation ou l'analyse y des activités de soins et de prévention Loi 2004 2004--801 du 6 août 2004 modifications du texte initial afin de p se conformer à la directive 95/46/CE de l’Union Européenne Remarque : la directive 95/46/CE vise à réduire les divergences entre les différentes législations nationales sur la protection des données afin de lever les obstacles à la circulation des données à caractère personnel à ll’intérieur intérieur de ll’UE UE Loi 7878-17 du 6 janvier 1978 (modifié par la loi 20042004-801 du 6 août 2004) relative à l’informatique, aux fichiers et aux libertés Garanties apportées aux citoyens visvis-à-vis du traitement de ses information personnelles Données à caractère personnel = « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement [ ] » (art. […] ( t 2) Remarque : le terme « information nominative » a été remplacé par le terme « donnée à caractère personnel » depuis la loi 2004 2004--801 Loi 7878-17 du 6 janvier 1978 (modifié par la loi 20042004-801 du 6 août 2004) relative à l’informatique, aux fichiers et aux libertés Traitement = « toute opération […] portant sur de telles données [[…]] et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, lt ti l’utilisation, l’ tili ti la l communication i ti par transmission, diffusion ou toute autre forme de mise à disposition, disposition le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement l effacement ou la destruction. destruction » !!!! Expose à des sanctions professionnelles, civiles, administratives, administratives voire pénales Loi 7878-17 du 6 janvier 1978 (modifié par la loi 20042004-801 du 6 août 2004) relative à l’informatique, aux fichiers et aux libertés Droit à l’information (art. 32) Droit d’opposition motivée (art. 38) Droit D it d’accès d’ è (art. ( t 39) Droit de contestation, contestation de rectification, rectification de suppression (art. 40) Devoir de sécurisation (art. 34) Infraction f = 5 ans + 300 000 € selon l les l cas (Code Pénal, art. 226226-16 à 226 226--24) Loi 7878-17 du 6 janvier 1978 (modifié par la loi 20042004-801 du 6 août 2004) relative à l’informatique, aux fichiers et aux libertés Dispositions particulières concernant les données de Santé (art. 8) : Elles ne p peuvent être collectées ou traitées q que si elles sont nécessaires aux fin de médecine préventive, préventive, diagnostics médicaux, administration de soins ou de traitement ou de la gestion de services de santé, traitement, santé, ou de recherche Leur traitement doit être mis en œuvre p par un membre d’une profession de santé, santé, ou par une autre personne tenue au secret professionnel Lorsque elles ont pour fin la recherche en Santé, il y a des dispositions supplémentaires (art. 53 à 61) Loi 7878-17 du 6 janvier 1978 (modifié par la loi 20042004-801 du 6 août 2004) relative à l’informatique, aux fichiers et aux libertés Données de suivi thérapeutique ou médical individuel des patients Données destinées à la recherche en Santé 1. 2 2. Simple déclaration à CNIL Soit la recherche est conforme à une méthodologie de référence éfé (cf. http://www.cnil.fr/fileadmin/documents/declarer/mode_d http://www.cnil.fr/fileadmin/documents/declarer/mode_d--emploi/sante/MRemploi/sante/MR-001.pdf) 001.pdf) Déclaration Soit la recherche ne relève pas de la méthodologie de référence Soumis à autorisation préalable de la CNIL Données destinées à la l’analyse des pratiques Soumis à autorisation p préalable de la CNIL Procédures auprès de la CNIL Déclaration (art (art. 23 et 24) : la CNIL retourne sans délai un récépissé, le demandeur peut commencer le traitement dès réception de ce récépissé Autorisation (art. 25) : la CNIL à 2 x 2 mois pour autoriser. Si pas de réponse de la CNIL, la demande est réputée rejetée Remarques : Autorisations spéciales pour la défense, la sécurité publique, la poursuite des d infractions i f i pénales, é l etc… ((art. 26 et 27) Instauration d’un correspondant à la protection des données dans les organismes publics ou privés dispense de déclaration CNIL (art. 22) En pratique Les nouvelles formalités du secteur de la santé (http://www.cnil.fr/index.php?id=1264 http://www.cnil.fr/index.php?id=1264)) Les fichiers de g gestion administrative et médicale des cabinets libéraux et des établissements de soins privés ou publics Déclaration CNIL Les fichiers à finalité de recherche médicale Autorisation CNIL ou Déclaration CNIL dépend de la méthodologie suivie (cf. http://www.cnil.fr/fileadmin/documents/declarer/mode_d http://www.cnil.fr/fileadmin/documents/declarer/mode_d--emploi/sante/MRemploi/sante/MR-001.pdf) 001.pdf) Les L fichiers fi hi à finalité fi lité d’é d’évaluation l ti ou d’ d’analyse l d des pratiques ou des activités de soins Autorisation CNIL Articles 226226-16 à 226226-24 du code pénal p Sanctionnent les manquements à la loi informatique et liberté (loi 7878-17 du 6 janvier 1978) 5 ans d’emprisonnement d emprisonnement et 300 000 € d’amende Articles 323 323--1 à 323323-7 du code pénal Sanctionnent les atteintes aux systèmes de traitement automatisé de données 5 ans d’emprisonnement et 75 000 € Synthèse des obligations légales Accomplir les formalités auprès de la CNIL Informer les personnes concernées Respecter la finalité déclarée du traitement Respecter la durée de conservation Assurer la sécurité et la confidentialité Assurer la correction et la mise à jour Marie-Laure Laffaire. Protection des données à caractère personnel - Tout sur la nouvelle loi. ISBN : 2-7081-3235-0 Quelles préconisations ? Objectif : assurer la sécurité (confidentialité et intégrité de l’information) Confidentialité « seuls les utilisateurs habilités ont accès au système y » Intégrité « propriété iété quii assure qu’une ’ iinformation f ti n’est ’ t modifiée difié que par lles utilisateurs habituels dans les conditions normalement prévues Les solutions sont organisationnelles et techniques q Quelles recommandations en pratique Q p q ? Recommandations de la CNIL http://www.cnil.fr/index.php?id=1058 h // il f /i d h ?id 1058 Identification, authentification (mots de passe / carte d’accès) Horodatation des transactions et journalisation des transactions A Anonymisation i ti des d d données é Codage des données nominatives Cryptage des données Mesure sécurisation réseaux (firewalls,…) (firewalls ) Contrôle de l’accès aux locaux Sensibiliser les utilisateurs … Travaux du CEN TC 251 WG III http://www.centc251.org Travaux du GMSIH : « Politique de sécurité des systèmes d’information des établissements de santé » http://www.gmsih.fr/fre/media/fichiers/ihe_evenements/jfr_2003/politique_de_securite_pour_les_systemes_d_information_des_etablissements_de_sante http://www.gmsih.fr/fre/media/fichiers/ihe_evenements/jfr_2003/politique_de_securite_pour_les_systemes_d_information_des_etablis sements_de_sante http://www.gmsih.fr/fre/nos_publications/articles_publications/securite_des_systemes_d_information_des_etablissements_de_sante http://www.gmsih.fr/fre/nos_publications/articles_publications/securite_des_systemes_d_information_des_etablissements_de_sant e