Dossiers de patients : l’Autorité italienne de protection des données personnelles apporte des éclairages concrets sur la configuration des profils d’accès des membres de l’équipe soignante
Dans sa décision du 23 janvier 2020, l’Autorité de protection des données italienne (Garante Privacy) aborde la question de la gestion des habilitations relatives aux dossiers de patients d’hôpitaux (Registro dei provvedimenti n. 18 del 23 gennaio 2020).
Dans cette affaire, l’Hôpital universitaire de Vérone avait déclaré à l’Autorité italienne trois évènements qualifiés de violations de données personnelles au sens de l’article 33 du RGPD : des membres du personnel hospitalier avaient accédé aux dossiers de santé de 16 patients alors qu’ils ne faisaient pas partie de l’équipe hospitalière en charge des soins à apporter auxdits patients, ni même du même service.
Dans les faits, les 16 patients concernés étaient également des membres du personnel hospitalier.
L’hôpital a pris des sanctions disciplinaires à l’encontre des membres de son personnel qui avaient eu la « simple curiosité » de consulter les dossiers médicaux de leurs collègues.
Après son enquête, l’Autorité italienne rappelle, tout d’abord, les principes applicables en matière de traitements de données de santé : ils doivent reposer sur l’une des bases juridiques prévues par l’article 9 du RGPD. Dans cette affaire, l’accès aux données de santé des patients par des membres du personnel hospitalier qui ne sont pas en charge de soins à apporter auxdits patients ne peut donc pas avoir pour finalité la prise en charge sanitaire du patient. Les membres du personnel hospitalier ont accédé aux dossiers médicaux de leurs collègues pour « satisfaire la curiosité », et donc, en l’absence de toute base légale.
Par conséquent, l’Autorité a considéré que l’hôpital n’avait pas mis en œuvre les mesures de sécurité nécessaires à la limitation des accès aux dossiers médicaux aux seuls membres de l’équipe soignante en charge des soins, en violation des principes d’intégrité et de confidentialité prévus par l’article 5 du RGPD.
Ensuite, l’Autorité italienne apporte un éclairage concret permettant de déterminer les modalités de gestion des habilitations aux dossiers médicaux et de configurer les profils d’accès des membres du personnel hospitalier :
- Premièrement, l’accès aux dossiers de patients doit être limité aux seuls membres du personnel hospitalier en charge des soins à apporter audit patient : il ne peut être étendu à toute l’équipe hospitalière.
- Deuxièmement, l’accès aux dossiers de patients doit être limité en fonction de l’acte médical à réaliser. A ce titre, l’Autorité italienne a précisé que le profil du soignant doit être configuré de manière à ce qu’il n’accède qu’aux données dont il a besoin pour réaliser l’acte de soin dont il est en charge.
- Troisièmement, l’accès aux dossiers de patients doit être limité temporellement, en fonction du type de prise en charge sanitaire à fournir aux patients. A ce titre, l’Autorité italienne a spécifiquement individualisé les radiologues, qui n’ont pas besoin d’avoir accès aux dossiers médicaux des patients après la réalisation de l’acte médical dont ils sont en charge, au contraire des neurologues et des gynécologues qui, eux, peuvent avoir besoin d’accéder aux dossiers médicaux même après une première prise en charge médicale, dans le cadre d’un second traitement.
Malgré la démarche proactive de l’hôpital dans le cadre de cette enquête, il a été sanctionné par une amende administrative de 30 000 euros.
En plus de mettre en lumière la sensibilité de la gestion de données de santé, cette décision a le mérite d’apporter un éclairage concret sur les modalités de configuration des profils d’accès aux dossiers médicaux de patients pour les équipes soignantes et membres du personnel hospitalier.