Ligue des Droits de l'Homme
Collectif Informatique, Fichiers et Citoyenneté
Collectif pour les droits des citoyens face à l'informatisation de l'action sociale
Collectif des associations et des syndicats contre la connexion des fichiers fiscaux et sociaux

Déterminer le contenu du dossier médical informatisé.

Le contenu d’un tel dossier se définit par la loi, celle-ci tient compte des fonctions qui lui sont assignées comme des caractéristiques de l’information qui le constitue.

Sur le plan du droit, le contenu du dossier du patient a tout d’abord été défini pour les établissements de soins publics et privés puis pour les médecins libéraux, ainsi les documents et/ou les éléments qui doivent y figurer ont été recensés.

Le dossier médical hospitalier est décrit comme suit.
« 1/ Les documents établis au moment de l'admission et durant le séjour à savoir :
a/ la fiche d'identification du malade ;
b/ le document médical indiquant le ou les motifs de l'hospitalisation ;
c/ les conclusions de l'examen clinique initial et les examens cliniques successifs pratiqués par tout médecin appelé au chevet du patient ;
d/ les comptes rendus des explorations paracliniques et des examens complémentaires significatifs, notamment les résultats des examens d'anatomie et de cytologie pathologiques ;
e/ la fiche de consultation préanesthésique, avec ses conclusions et les résultats des examens demandés, et la feuille de surveillance anesthésique ;
f/ le ou les comptes rendus opératoires ou d'accouchement ;
g/ les prescriptions d'ordre thérapeutique ;
h/ lorsqu'il existe, le dossier de soins infirmiers.

2/ Les documents établis à la fin de chaque séjour hospitalier, à savoir :
a/ le compte rendu d'hospitalisation, avec notamment le diagnostic de sortie ;
b/ les prescriptions établies à la sortie du patient ;
c/ le cas échéant, la fiche de synthèse contenue dans le dossier de soins infirmiers. »

Le dossier de suivi médical est ainsi définit : « ..., la continuité des soins repose sur la mise en place d'un dossier médical du patient. (...) Ce dossier comprend, outre les éléments apportés par le médecin généraliste, le patient lui-même et l'ensemble des intervenants, tous les comptes rendus des actes, les prescriptions ainsi que les conclusions s'y rapportant et les interventions réalisées en secteur hospitalier public ou privé dans le respect des droits du patient... »

Le dossier détenu par l'hôpital n'est pas la propriété du patient, mais de l'établissement hospitalier et le consentement du patient à la levée du secret médical entre les médecins participant aux soins hospitaliers est présumé.
Le dossier gardé par le médecin libéral est la propriété du patient et il est couvert par le secret médical.

Des travaux conduits en vue de l’informatisation de l’information médicale ont attribué trois fonctions distinctes au dossier du patient [1]. Comme il contient ce qui est nécessaire à la continuité des soins, il a pour le médecin une fonction de mémoire. Á l’hôpital, il sert de lien entre ceux qui participent aux soins, et l’organisation qui se met en oeuvre au travers des réseaux de soins prévoit d’amplifier cette pratique et tend à y inclure les médecins de ville. Dans la sphère hospitalière, il est une des sources d’informations pour des usages à des fins collectives : évaluation de la qualité des soins, maîtrise des dépenses de santé, recherche médicale, enseignement de la médecine.

Dans la pratique, les documents précités sont émis pour chaque patient par différents professionnels, ils constituent des ensembles d’informations élaborées à partir d’un recueil, de connaissances médicales pré-requises, d’un examen clinique... Il s’agit d’un ensemble d’événements de santé qui correspondent à des moments de la vie du patient, ce qui valide l’analogie avec des images figées dans le temps qui donnent à voir une image partielle et partiale de la personne. De plus, la technicité et la spécialisation font que ces informations sont de natures multiples : radiographies, signaux électriques, faits cliniques objectifs, considérations subjectives... mais aussi notes personnelles du professionnel de santé. Toute cette variété d’expression et de forme génère une hétérogénéité d’ordre sémantique qui appelle la prudence quant à son utilisation de façon automatisée, et fait que la médiation humaine reste nécessaire pour son utilisation. La validité de ces informations n’est pas universelle, la même donnée peut être valide pour une décision et non valide pour une autre décision. Il convient de ne pas accorder un excès de confiance à l’information mémorisée lors des prises de décisions et de s’interroger sur sa pertinence dans le temps. Il convient d’être vigilant pour que le double informationnel du patient ne se substitue pas au patient lui-même !
D’autre part, la dématérialisation de ces documents a mis en lumière des problèmes techniques posés par la complexité des documents (documents électroniques codés dans différents formats, informations de nature factuelle, souvent numériques, et textuelle) [2]. Ces difficultés ne seront résolues que par une procédure de normalisation qui est en cours.
Au vu des particularités de l’information de santé et de la nécessaire médiation des professionnels de santé quant à son utilisation, la notion de dossier médical informatisé ne peut que correspondre à des dossiers distincts répartis entre les différents praticiens qui créent et gèrent l’information relative au patient venu consulter chacun. Cette conception du dossier s’impose pour assurer une gestion de l’information de santé respectueuse des personnes. Et elle est incompatible avec le présupposé d’un dossier médical unique.

Cerner l’exploitation des données de santé

La finalité première du recueil et de la gestion de l’information médicale liée à la personne sont la dispense et la continuité des soins, alors que de plus en plus, les données individuelles de santé sont utilisées à des fins collectives pour des finalités très différentiées (évaluations, statistiques...). En terme de communication, il faut distinguer la communication du dossier au patient lui-même, de la communication d’informations médicales à des tiers : entre professionnels de la santé participants aux soins, aux médecins des départements d’information médicale, aux médecins conseils de l’assurance maladie, aux médecins des compagnies d’assurance, à des tiers de personnes décédées, à une organisation non sanitaire, à l’industrie pharmaceutique.

Á partir de cet état de fait, il est souhaitable de faire une première distinction entre un usage pour les soins médicaux au patient et un usage pour la gestion des services de santé. Une autre distinction est inspirée par le principe du respect de la vie privée, entre les usages qui bénéficient directement à une personne déterminée et ceux qui concernent un ensemble de personnes que les finalités soient scientifiques, de sécurité sanitaire ou de gestion des services de santé. Ces distinctions servent à mieux discerner les obligations de confidentialité qui limiteront, voire interdiront, la communication des informations médicales à des tiers.

La question de l’identification unique et non ambigü « des personnes est au coeur de la problématique d’informatisation du dossier du patient dès lors que le dossier est défini comme le « pivot des échanges » et que des règles a priori définissent les conditions de partage de l’information [3].
Or ces principes doivent être reconsidérés au vu de la pratique et de certains travaux.
Le médecin de ville connaît nommément ses patients, les reconnaît de visu d’où leur authentification, ils sont donc identifiables avec leur nom, prénom et date de naissance avec un taux de risque d’erreurs infime qui peut être corrigé par d’autres informations discriminantes détenues sur la personne.
Des études sur « l’identifiant permanent du patient dans le système d’information de santé » faites en 1997 et 1998 n’ont pas permis de dégager une solution faisant l’unanimité, mais l’emploi du NIR comme IPP n’y a pas été exclu, et ses « qualités » pour identifier les personnes y sont soulignées [4] [5].
Mais ce qui y a été vu comme des qualités, est dans le domaine de la santé particulièrement dangereux. Les éléments constitutifs du NIR sont des items pertinents et couramment utilisés pour des sélections de populations fondées sur le sexe, l’âge, et l’origine géographique. En outre, en décembre 1999 un décret a autorisé son utilisation par la direction générale des impôts, la direction générale de la comptabilité publique et la direction générale des douanes, il n’est donc plus réservé aux usages sanitaires, et désormais son utilisation n’est plus acceptable dans le système d’information de santé. Enfin, il n’est pas sage de lier les données de santé aux systèmes de remboursements des soins à un moment où l’avenir de ce dispositif n’est pas assuré.

Á propos de la définition de règles fiables de partage a priori des informations de santé mentionnée ci-dessus, celles-ci ont été réfutées par le Docteur Georges Weil dans l’étude sur l’IPP [4], où il mentionne les difficultés de modéliser l’équivalent du jugement ad hoc qui conduit le médecin dans chaque situation à transmettre ou non l’information et sous quelle forme. L’échange d’information entre professionnels de santé se fait généralement sur la base d’une demande précise pour une circonstance précise qui appelle une réponse constituée d’informations contextualisées et qui a pris en compte la nécessité de continuité des soins et le respect de la volonté du patient.

Quant à l’exploitation statistique de base de données exhaustives sur les patients qui permettraient de répondre à des besoins concernant des ensembles de personnes, la pratique a révélé des cas d’identification indirecte des personnes en nombre non négligeable même après qu’on eut retiré de ces bases le nom, le prénom et le NIR des personnes concernées. La base de données des RSA issue du PMSI en est l’illustration parfaite (cf. annexe 3). Une vigilance particulière doit être exercée maintenant que le strict anonymat n’est plus exigé et que des dérogations au principe de l’anonymat peuvent être accordées par la CNIL (cf. annexe 4).

Garantir l’anonymisation des dossiers médicaux

Les travaux sur les données de santé issues du PMSI contribuent à montrer que l’anonymisation n’est plus une protection suffisante de la confidentialité. Des données médicales mêmes anonymisées restent souvent indirectement identifiantes, et la possibilité d’inférence statistique permet d’induire des informations absentes, par exemple l’identité, à partir d’autres informations disponibles dans la base de données (cf. annexe 4). Or les moyens à mettre en oeuvre pour lever l’anonymat sont demoins en moins déraisonnables, au sens du droit, car les fonctionnalités des gestionnaires de bases de données sont de plus en plus performantes.

La question de la protection de volumineuses bases de données médicales directement ou indirectement identifiantes est de fait posée. Elle appelle la constitution de référentiels de sécurité, encore faut-il qu’ils soient applicables et appliqués, et que leur mise en oeuvre soit auditée, quel que soit l’organisme qui détienne de telles bases de données (services de l’état, organismes d’assurance maladie, établissements publics ou privés...).

L’utilisation des données de santé des patients pour la gestion des services de santé pose le problème du chaînage des différentes informations concernant les épisodes de soins d’un patient. Par exemple, le PMSI dans les établissements privés utilise comme élément de chaînage le résultat d’un chiffrement du NIR. En outre, les exigences de chaînage doivent être analysées selon la finalité des traitements demandés [6]. Dans le cas où l’identité des personnes n’est pas nécessaire, comme l’analyse de l’activité, l’allocation de ressources, la planification sanitaire, les identifiants utilisés pour le chaînage peuvent être créés par des procédures de chiffrement irréversible qui rendront impossible le lien avec l’identifiant originel associé aux données. Dans le cas des situations de vigilance et de sécurité sanitaire où il peut être nécessaire de retrouver certains patients, le chiffrement devrait être conçu avec la possibilité de lever l’anonymat sur décision d’une autorité compétente.

Quelles garanties de confidentialité un patient attend-il ?

Cette question est à la confluence du droit, de la déontologie, des pratiques professionnelles et de la technologie.
Pour le patient, la confidentialité est une contrepartie attendue de la confiance qui s’établit dans le colloque singulier avec le médecin. Pour un médecin préserver la confidentialité des données médicales personnelles est une obligation d’ordre déontologique et légal.
La confidentialité est une composante de la sécurité comme l’intégrité et la disponibilité des informations. Elle est alors définie comme la propriété qui assure que seuls les utilisateurs habilités dans les conditions normalement prévues ont accès aux informations. La définition d’une politique de confidentialité impose de traduire par des règles stables qui a le droit d’accéder à quelles informations au sujet de qui, quand, et éventuellement sous quelles conditions, par exemple le consentement du patient, selon quelles modalités.
Or la difficulté, notamment constatée par le Docteur Weil [4], de préciser a priori des règles stables et efficaces alors que face à une situation concrète la décision est bien souvent simple à prendre pour le médecin, ne permet pas d’établir un contrôle d’accès prédéfini et applicable à toute situation.
La mise en exergue de l’importance du jugement ad hoc du médecin et l’existence des conflits d’intérêt que le patient peut avoir à gérer (cf. annexe 2), font que l’accès à l’information médicale doit relever d’un jugement humain selon la situation d’utilisation. En principe, les règles de confidentialité reposent sur les éléments suivantes : l’identité de demandeur, l’identité du patient, l’organisation dans laquelle a eu lieu la séquence de soins, la nature des informations demandées. La modalité de constitution de la règle repose essentiellement sur la finalité qui justifie l’accès à l’information. Par exemple, lorsque la finalité a été la production des soins, le secret médical a été partagé dans l’intérêt du patient entre les professionnels qui y participaient.
Des droits d’accès ainsi définis sont très différents de droits d’accès attribués par fonction même si ceux-ci concernent des données élémentaires d’information.

Quelques principes pour contrôler l’accès à l’information contenue dans le dossier du patient.
Á tout dossier informatisé contenant des informations nominatives de santé doit être associé un contrôle d’accès qui permette de désigner les personnes ou groupes de personnes ayant le droit de lire le contenu du dossier et d’y ajouter des informations de façon systématique ou conditionnelle. Toute autre personne n’ayant pas de tels droits ne doit pouvoir y accéder.
Le dossier est constitué sur la base des informations établies entre un médecin donné et chaque patient qui vient le consulter.
Une partition des informations nominatives de santé distinguera les informations nécessaires aux professionnels de santé de l’équipe de soins, les informations auxquelles seul le médecin qui les a recueillies a accès au vu de leur caractère sensible ou subjectif, les informations objectives et factuelles qui peuvent accessibles aux professionnels de santé en fonction du contexte de leur demande... Les notes personnelles du médecin sont exclues de cette partition.
Le médecin qui a créé le dossier est le seul habilité à modifier la liste de contrôle d’accès, il fait respecter les volontés du patient dans le dispositif de santé.
Le médecin doit informer le patient des modalités du contrôle d’accès, obtenir son accord sur la liste établie et le tenir informer de toute modification surtout si cela concerne des personnes qui ont accès à un grand nombre d’autres dossiers. Le patient peut faire rectifier la liste.
Aucune autre personne que le médecin et le patient ne doit pouvoir effacer ou faire effacer tout ou partie d’un dossier avant sa date légale d’expiration, seules des informations peuvent être ajoutées pour mentionner le caractère erroné ou obsolète d’un élément constitutif.
Tous les accès au dossier doivent être consignés en précisant qui a accédé à quoi quel jour à quelle heure et ce jusqu’à l’effacement du dossier.

Ces quelques principes mis en oeuvre dans une politique de sécurité informatique apporteraient des garanties de confidentialité aux patients. Dans un processus d’informatisation tel que celui du dossier du patient, nous affirmons la prééminence de la personne sur une organisation façonnée par la technologie. Les seules potentialités de la technique ne doivent pas remettre en question le droit au respect de la vie privée qui implique confiance réciproque et médiation humaine.

Quelques références bibliographiques

 Le droit des patients : enjeux et défis, La Gazette du Palais, n°51-52, vendredi 20-samedi 21 février 1998.

 Deboscker Y. Le dossier médical dans les établissements de santé. éd. Berger-Levrault, Paris, 1997. Coll. Manuels B.-L. Santé, n° 22. pp. 115

 Herbaux B., Morin C. Le dossier médical informatisé. éd. Sauramps médical, Montpellier, 1995.

 Hoerni B., Bénézech M. Le secret médical : confidentialité et discrétion en médecine. Masson, Paris.

 Les pirates du secret médical, Pratiques, n°33, août 1993.

 L’aspect médical de la protection de la vie privée, Hommes et libertés, n°94, mars-avril-mai, 1997.

 Anderson R. Medical System Security : Interim guidelines, British Medical journal, vol. 312, n° 7023, 13 janvier 1996, pp. 109-111 Sécurité dans les systèmes médicaux informatisé.Trad. Petitcolas F. Université de Cambridge, 1998

 Espace éthique AP-HP / Mission pour le développement des réseaux de soins et de santé D.E.S.I. Éléments de charte éthique concernant le système d’information d’un réseau de soins. Octobre 1997.

 De Pange M.-F. L’avenir de l’exercice médical : le cabinet en réseau de l’an 2005, Le quotidien du médecin, n°6593, 22 novembre 1999, pp. 33-36

 Lenoir N., Delahaye C. L’information des systèmes de santé européens : vers une directive et une charte du patient. Le quotidien du médecin, n° 6536, 25 août 1999.