Données personnelles

Dossier médical : gratuité et conditions d’accès au regard du RGPD

Publié le : 13/11/2023 13 novembre nov. 11 2023

Dans un arrêt du 26 octobre 2023[1], la Cour de Justice de l’Union Européenne s’est prononcée sur les conditions d’accès, par un patient, à son dossier médical à la lumière des règles relatives à la protection des données personnelles.
Dans cette affaire, qui se débute en Allemagne, un patient souhaite engager la responsabilité de son dentiste. Dans la perspective de ce contentieux, il demande une copie de son dossier médical.

En réponse, le dentiste lui impose le paiement des frais de fourniture de la copie du dossier médical. Le professionnel de santé soutenait que le droit allemand l’autorise à solliciter le paiement de ces frais.

Le patient conteste l’obligation de paiement des frais. Il estime qu’au regard du Règlement général sur la protection des données[2] (« RGPD »), son dossier médical – constitué de ses données personnelles - doit lui être communiqué gratuitement.

En premier instance comme en appel, le patient obtient gain de cause : les juges font droit à sa demande d’accès à son dossier médical gratuitement.

La Cour fédérale de justice allemande[3], saisie d’un recours en révision, décide d’interroger la Cour de Justice de l’Union Européenne pour apprécier la comptabilité du droit allemand (qui permet aux médecins de facturer la copie du dossier médical) avec le RGPD.

A l’occasion de cette affaire, la Cour de justice a rappelé plusieurs règles :

 
  • Le RGPD accorde à chaque personne le droit d’obtenir une reproduction fidèle de ses données personnelles.[4]
 
  • La copie de ces données doit être communiquée gratuitement.[5]
 
  • Des frais raisonnables ne peuvent être sollicités que si les demandes sont infondées ou excessives  (notamment en raison du caractère répétitif).[6]
 
  • La personne n’a pas à motiver sa demande d’accès à ses données personnelles.
 
  • Aucun État membre de l’UE ne peut adopter une législation qui, pour protéger les intérêts économiques d’un responsable du traitement, autorise une facturation de l’accès aux données personnelles.
 
  • Dans les relations médecin/patient, le droit d’obtenir une copie des données personnelles implique une remise d’une reproduction fidèle et intelligible de l’ensemble de ces données. Ce droit suppose de remettre une copie intégrale des documents figurant dans son dossier médical si cela est nécessaire pour permettre à cette personne de vérifier l’exactitude et l’exhaustivité de ses données ainsi que pour garantir leur intelligibilité.
 
  • Le droit d’accès aux données personnelles concerne « les données des dossiers médicaux contenant des informations telles que des diagnostics, des résultats d’examens, des avis de médecins traitants et tout traitement ou intervention administrés »[7].
 
  • Ces documents peuvent contenir de nombreuses données techniques. Il existe un risque d’omission ou de reproduction incorrecte des données si le médecin ne communique qu’un résumé ou une compilation des données sous forme synthétique. Cela peut également rendre difficile la vérification de l’exactitude et de l’exhaustivité des données. La communication du dossier médical doit donc être complète.


Si l’affaire concerne un patient et un professionnel de santé allemands, ces règles s’appliquent également en France.

Ainsi, l’article R1111-2 du Code de la santé publique qui prévoit des « frais de délivrance de ces copies » n’apparait pas conforme au RGPD et ne peut plus être opposé à un patient.

L’article L1111-7 du Code de la santé publique précise que « La consultation sur place des informations est gratuite ». Ce texte apparait également non conforme au RGPD. La gratuité de l’accès aux données personnelles ne peut être limitée aux seules consultations sur place.

Les termes de l’article R1111-1 dudit Code peuvent également être considérés comme non conformes aux exigences du RGPD. Cet article précise en effet : « Avant toute communication, le destinataire de la demande s'assure de l'identité du demandeur ». L’administration précise par ailleurs « Votre identité est vérifiée notamment grâce à une carte d'identité ou un passeport »[8]

Or, selon l’article 12 du RGPD, le responsable de traitement ne peut demander un justificatif de l’identité du demandeur que s’il existe un doute sur cette identité : « lorsque le responsable du traitement a des doutes raisonnables quant à l'identité de la personne physique présentant la demande visée aux articles 15 à 21, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l'identité de la personne concernée. »

Ainsi, alors que la lecture combinée de l’article R1111-1 dudit Code et de la publication de l’administration semble permettre une vérification presque automatique de l’identité du demandeur, le RGPD n’autorise une telle vérification que s’il existe des doutes raisonnables quant à l’identité du demandeur.

La CNIL précise sur ce point : « Si et seulement si, l’organisme a des doutes raisonnables sur votre identité, il peut vous demander de joindre tout document permettant de prouver votre identité, par exemple pour éviter les usurpations d’identité. »[9]

Enfin, les modalités de communication des données des patients pourraient également se trouver impactées. Le Code de la santé publique précise que la communication s’effectue par voie électronique uniquement « si les dispositifs techniques de l'établissement le permettent »[10] et ajoute « Les copies sont établies sur un support analogue à celui utilisé par le professionnel de santé ou l'établissement de santé, ou sur papier, au choix du demandeur et dans la limite des possibilités techniques du professionnel ou de l'organisme concerné. »

Ces règles subordonnent les modalités de communication des données aux possibilités techniques des professionnels de santé.

Or, le RGPD pose un postulat différent. Le professionnel de santé, lorsqu’il est responsable de traitement, doit « prendre des mesures appropriées pour fournir toute information […] d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ».[11]

Sous ce prisme, les modalités de communication des données personnelles du patient sont dictées par des exigences de lisibilité et d’accessibilité par le patient et non par les limites techniques du professionnel de santé.
 
Cet arrêt devrait susciter une adaptation du Code de la santé publique en France. Néanmoins et sans attendre une telle modification, il est important de tenir compte de cet arrêt dans le cadre de politique de protection des données personnelles des patients et, plus particulièrement, en cas de demande d’accès, par un patient, aux données contenues dans son dossier médical.
 
 
[1] Affaire C‑307/22
[2] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
[3] Bundesgerichtshof
[4] Article 12, paragraphe 1 du RGPD
[5] Article 12, paragraphe 5 du RGPD
[6] Article 12, paragraphe 5 du RGPD
[7] Préambule du RGPD, paragraphe 63
[10] R1111-2 du Code de la santé publique
[11] Article 12 du RGPD

Auteurs

Flavien MEUNIER
Avocat Associé
LEXCAP NANTES
NANTES (49)
Voir l'auteur Contacter l'auteur Tous les articles de l'auteur Site de l'auteur
Karen SAMMIER
Avocate
LEXCAP ANGERS
ANGERS (49)
Voir l'auteur Contacter l'auteur Tous les articles de l'auteur Site de l'auteur

Historique

<< < ... 3 4 5 6 7 8 9 ... > >>
Navigateur non pris en charge

Le navigateur Internet Explorer que vous utilisez actuellement ne permet pas d'afficher ce site web correctement.

Nous vous conseillons de télécharger et d'utiliser un navigateur plus récent et sûr tel que Google Chrome, Microsoft Edge, Mozilla Firefox, ou Safari (pour Mac) par exemple.
OK