Depuis deux ans, un groupe de patients du service psychiatrique du C. H. du Gers a effectué différentes démarches afin de voir reconnaître leur « droit légitime d’opposition à l’informatisation de [leurs] données personnelles en psychiatrie. »

Afin de comprendre leur argumentation, nous reprenons ci-dessous la lettre collective qu’ils ont adressée, le 15 août 2010, au médecin SIM du C. H. du Gers, sous couvert du Dr O. L., président du Comité d’Ethique du Centre Hospitalier du Gers et responsable du Centre Médico-Psychologique d’Auch – avec copie à l’UNAFAM du Gers et à la Cnil.

Auch, le 13 août 2010

Madame le Médecin SIM du C.H. du Gers,

Personnes majeures suivies en consultation au Centre Médico-Psychologique d’Auch, nous avons l’honneur de faire valoir librement et collectivement notre Droit d’Opposition au recueil informatique de nos données personnelles, conformément à l’article 38 de la Loi Informatique et Libertés du 6 janvier 1978 modifiée.

En effet, votre courrier du 2 avril 2010 n’a pas répondu à cette demande que plusieurs d’entre nous avaient déjà formulée, demande qui avait été argumentée sur les plans éthique et réglementaire par un courrier du Dr O. L. en date du 9 juillet 2009.

Nos motifs légitimes d’opposition sont les suivants :

1. – Le Comité Consultatif National d’Ethique, dans son avis n°104 du 29 mai 2008 [1], applicable « point par point » à la psychiatrie (courrier de son président, le Professeur Grimfeld, en date du 16 décembre 2008), a affirmé que l’informatisation des données personnelles de santé présente un « risque d’atteinte aux libertés individuelles, notamment au profit d’organismes financiers, administratifs ou assurantiels ». Ce risque d’interconnexion et de subtilisation a été depuis lors confirmé par plusieurs affaires de piratage à grande échelle de fichiers confidentiels. Le fait est que les fichiers conservés dans le Service d’Information Médicale sont nominatifs, et leur anonymisation lors de leur transmission trimestrielle ne serait pas absolument inviolable. Nous n’acceptons pas cette atteinte à nos libertés, à notre vie privée dénoncée par une instance aussi prestigieuse et reconnue que le Comité Consultatif National d’Ethique lui-même.
   
2. – La confidentialité de l’accès à nos données personnelles collectées dans le Dossier Patient Informatisé, dont vous êtes le garant au sein de l’établissement d’après le Code de la Santé Publique, ne paraît pas suffisamment assurée. Selon la charte d’utilisation du logiciel constituant ce dossier, en effet, les contrôles de confidentialité sont effectués de façon aléatoire, sinon artisanale, par un contrôle mensuel des dossiers consultés, sur trente professionnels tirés au sort. Dans son courrier du 23 avril 2009, pourtant, la Direction de l’Hospitalisation et de l’Offre de Soins énonce clairement que l’établissement doit attester « qu’il met en œuvre toutes les mesures de nature à assurer la confidentialité des données traitées ». Dans une petite ville comme la notre, où tout le monde se connaît, nous n’acceptons pas de constater que n’importe quel agent de l’hôpital spécialisé puisse avoir accès à nos données personnelles, sans réel garde-fou technique.
   D’autres problèmes soulevés par le recueil informatique psychiatrique de nos données personnelles apparaissent plus complexes, mais suscitent également des motifs légitimes d’inquiétude quant à ses objectifs et sa légalité :
   
3. – Quelle est la finalité de ce recueil, est-elle clairement déterminée comme l’exige la Loi Informatique et Libertés du 6 janvier 1978 ? Ou bien ce recueil fait-il l’objet en réalité d’une utilisation détournée et déloyale ? En servant par exemple à comptabiliser l’activité des personnels soignants qui nous prennent en charge, qui pourraient être ainsi mis en concurrence voire pénalisés ?
   
4. – Parmi nos données confidentielles figure obligatoirement le diagnostic médical, codé selon la classification CIM10 « des maladies mentales et des troubles du comportement ». Ce diagnostic comportemental n’est-il pas discriminatoire et stigmatisant, en assimilant tout écart de conduite à un trouble mental ? Respecte-t-il la déontologie médicale, qui garantit l’indépendance du praticien et le secret de ce que nous lui confions ?

En outre, il est évident que nous n’avons pas reçu une information suffisante sur nos droits (droit d’accès et de rectification, droit d’opposition, droit à l’oubli…), pas plus que sur les usages et les finalités, officiels ou non, du recueil informatique de nos données personnelles. Quoi qu’il en soit, nous nous opposons absolument à ce que ce recueil soit utilisé en contradiction avec les différentes réglementations que nous avons citées, et en premier lieu l’article 9 du Code Civil (repris dans l’article 8 de la Convention Européenne des Droits de l’Homme), qui énonce que toute personne a droit au respect de sa vie privée. Rappelons enfin que « le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne » constitue une infraction passible du Code Pénal (article 226-18).

Nous vous demandons par conséquent de respecter sans délai, et définitivement, notre droit légitime d’opposition à l’informatisation de nos données personnelles en psychiatrie.

Dans cette attente, [...]

Les soussignés :

Voici d’autre part la réponse – attendue depuis plus de 18 mois – que la Commission nationale informatique et libertés (Cnil) vient de faire au courrier que des patients du service de psychiatrie du Centre hospitalier du Gers lui avaient adressé en juillet 2009. Considérant que cela constituait une atteinte à leur vie privée, ils y déclaraient leur opposition à l’informatisation de leurs données personnelles.

Lettre de X. D., Chargé de mission (Service des plaintes de la Cnil)

à

O.L. ...

Paris, le 14 février 2011

Monsieur,

Je vous prie tout d’abord de bien vouloir excuser le délai de cette réponse. En effet, notre Commission est saisie d’un nombre de dossiers toujours plus important, ce qui impacte nécessairement leurs délais de traitement.

Vous nous avez saisis d’une plainte relative aux conditions dans lesquelles les patients de la structure de santé au sein de laquelle vous travaillez se voient imposer la collecte et l’enregistrement, dans le Recueil informatique médicalisé en psychiatrie(RIMP), de données les concernant et notamment relatives à leur état de santé.

Vous nous précisez les nombreux motifs pour lesquels ces personnes s’opposent au traitement de leurs données et soulignez les risques encourus en matière de confidentialité et de sécurité des données.

Tout d’abord, et ainsi que vous le soulignez, la mise en oeuvre de ce traitement RIMP a été prévue par un arrêté du 29 juin 2006. Ce texte prévoit que des données relatives à l’identification des patients sont collectées et enregistrées dans ce traitement, y compris lorsque la personne est soignée sous couvert de l’anonymat.

Dès lors, les personnes ne peuvent pas s’opposer à la collecte des données les concernant dans la mesure où elle répond à une obligation légale, conformément aux dispositions de l’article 38 alinéa 3 de la loi du 6 janvier 1978 modifiée en août 2004.

En outre, il appartient à chaque établissement concerné de procéder à une déclaration auprès de notre Commission. A cet égard, je vous précise que le Centre hospitalier du Gers a procédé à cette formalité le 3 mai 2007 (dossier n°33677).

S’agissant de la sécurité et de la confidentialité des données, je vous rappelle qu’il appartient au responsable du traitement de prendre toutes précautions utiles pour préserver la sécurité des données personnelles et notamment, empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès (article 34 de la loi du 6 janvier 1978 modifiée en août 2004).

J’ajoute que le non-respect de ces dispositions est puni, sous réserve de l’appréciation souveraine des juridictions, de cinq ans d’emprisonnement et de 300 000 € d’amende par l’article 226-17 du code pénal.

A cet égard, en matière de données médicales, l’accès aux dossiers des patients suivis doit être strictement limité aux professionnels prenant en charge les patients. Le personnel administratif habilité peut également accéder aux données, dans la limite de ses attributions et sous la
responsabilité du médecin. Il s’agit de règles induites par le respect du secret médical, qui s’ appliquent également aux traitements non informatisés.

De plus, j’observe que l’article 1 IV de l’arrêté du 2 juin 2006 prévoit que, « après avoir été rendues anonymes, des informations des résumés par séquence et des résumés d’activité ambulatoire sont communiquées (...) aux agences régionales de l’hospitalisation ». Les articles 5 et
6 de ce texte prévoient de manière précise les conditions techniques dans lesquelles une telle transmission peut être effectuée.

Si vous avez connaissance de faits précis tendant à prouver que ces obligations ne sont pas respectées, je vous invite à le signaler à notre Commission qui pourra, si elle l’estime nécessaire, diligenter un contrôle conformément aux pouvoirs qui lui sont dévolus par la loi.

Je vous prie, [...]

Il s’agit bien entendu d’une fin de non-recevoir. Mais cette lettre de la Cnil est bien surprenante : il ne semble pas que la commission se soit émue du non-respect de la confidentialité ni du partage du secret médical. Elle s’est contentée de rappeler la responsabilité individuelle du médecin SIM !