Pas d’accès aux dossiers en cas de plainte du fait du RGPD ?
Principe : l’interdiction de traitement
En principe, votre secret professionnel ne vous permet pas de communiquer des données médicales à qui que ce soit en dehors de votre relation thérapeutique avec le patient. Le RGPD, encore plus large, interdit lui tout traitement de données de santé, ce qui inclut l’utilisation du dossier du patient, mais aussi sa consultation, sa transmission à des tiers, une copie de pièces, etc.
Exception : la défense en justice
Le principe. Par le passé, la jurisprudence a déjà admis une exception au secret médical pour le médecin appelé à se défendre face à une plainte d’un patient. Le RGPD a donné une base légale à cette exception et l’a même étendue : si le traitement de données de santé «est nécessaire à la constatation, l’exercice ou la défense de droits en justice».
Concrètement. L’interdiction de traitement ne prévaut ainsi pas si vous avez besoin du dossier du patient pour intenter une action en justice ou vous défendre contre une telle action. La protection de la vie privée du patient ne va pas jusqu’à vous interdire d’accéder à son dossier pour pouvoir en produire des pièces de nature à vous permettre de vous défendre face à une plainte de ce patient.
Des conditions. Tout d’abord, vous ne pouvez produire que les pièces «adéquates et pertinentes» et ne pouvez traiter «plus de données qu’il n’est nécessaire» (art. 5 RGPD) . Si un gynécologue était p.ex. accusé d’avoir imprudemment pratiqué une hystérectomie sur une femme de 45 ans, il ne serait sans doute pas jugé pertinent qu’il produise aussi les rapports d’une interruption de grossesse d’il y a 20 ans. Ensuite, le patient concerné doit être informé du traitement de ses données pour l’exercice du droit à la défense (art. 13 RGPD) . C’est sur ce point que le Conseil national a apporté des précisions (avis a168003, 20.03.2021) .
Cet avis sur le devoir d’information
Pas d’opposition possible. Avant tout, relevons que la condition d’information prescrite par le RGPD consiste à informer préalablement le patient de l’intention de traiter des données de son dossier pour une défense en justice. Elle n’implique pas qu’il y consente. Bref, il ne peut s’y opposer.
À formaliser dans un règlement. Mais, quand bien même, cela peut être encore fort ennuyeux d’avoir à en faire part préalablement à un patient. Sachez donc que pour remplir cette obligation d’information préalable, il peut suffire, le Conseil national l’a confirmé, que le règlement de protection de la vie privée et le registre de traitement de l’hôpital contiennent une disposition à ce sujet. Si ce n’est pas le cas, vous devez d’abord vous concerter avec le DPO (data protection officer) de l’hôpital.
Bon à savoir. Ce qui vaut pour un hôpital peut selon nous aussi valoir pour un cabinet privé. Là aussi, vous devez communiquer préalablement au patient toute utilisation de ses données médicales dans le cadre d’une plainte introduite à votre encontre. Vous le pouvez p.ex. en le reprenant dans votre déclaration relative à la vie privée et en l’affichant dans votre salle d’attente et en le publiant sur votre site Internet. Si vous recourez à un système de prise de rendez-vous en ligne, vous pouvez aussi le reprendre dans les conditions générales et dans le courriel de confirmation.