L'article 8, paragraphe 1, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et l'article 9, paragraphe 1, du règlement 2016/679, doivent être interprétés en ce sens que dans la situation où l'exploitant d'une pharmacie commercialise, par le biais d'une plateforme en ligne, des médicaments dont la vente est réservée aux pharmacies, les informations que les clients de cet exploitant saisissent lors de la commande en ligne des médicaments, telles que leur nom, l'adresse de livraison et les éléments nécessaires à l'individualisation des médicaments, constituent des données concernant la santé, au sens de ces dispositions, même lorsque la vente de ces médicaments n'est pas soumise à prescription médicale.

L’article 9, paragraphe 2, sous h), et l’article 6, paragraphe 1, du règlement 2016/679 doivent être interprétés en ce sens qu’un traitement de données concernant la santé fondé sur cette première disposition doit, afin d’être licite, non seulement respecter les exigences découlant de celle‑ci, mais aussi remplir au moins l’une des conditions de licéité énoncées à cet article 6, paragraphe 1.

Le droit au respect de la vie privée requiert que soit observée une particulière Vigilance dans la communication des données à caractère personnel de nature médicale.

droit d'accès aux documents administratifs – Demande de communication d'un registre de contention et d'isolement au titre du droit d'accès aux documents administratifs. Dans le cas où l'identité des patients a fait l'objet d'une pseudonymisation, laquelle ne permet l'identification des personnes en cause qu'après recoupement d'informations, il appartient au juge administratif d'apprécier si, eu égard à la sensibilité des informations en cause et aux efforts nécessaires pour identifier les personnes concernées, leur communication est susceptible de porter atteinte à la protection de la vie privée et au secret médical. En l'espèce, compte tenu de la nature des informations en cause, qui touchent à la santé mentale des patients, et du nombre restreint de personnes pouvant faire l'objet d'une mesure de contention et d'isolement, facilitant ainsi leur identification, alors au demeurant que les autorités énumérées à la dernière phrase du deuxième alinéa de l'article L. 3222‑5‑1 du code de la santé publique peuvent accéder à l'ensemble des informations figurant sur les registres et contrôler l'activité des établissements concernés, l'identifiant dit "anonymisé" figurant dans ces registres, qu'il s'agisse, selon la pratique du centre hospitalier, de "l'identifiant permanent du patient" (IPP) ou d'un identifiant spécialement défini, doit être regardé comme une information dont la communication est susceptible de porter atteinte à la protection de la vie privée et au secret médical. Cet identifiant n'est donc communicable qu'au seul intéressé en vertu des dispositions de l'article L. 311‑6 du code des relations entre le public et l'administration.

En application des articles L.1110-4 et L.1110-12 du code de la santé publique et de la politique générale de sécurité des systèmes d'information de santé élaborée par l'Agence du Numérique en Santé (PGSSI-S), le responsable de traitement d'un dispositif dossiers patients informatisés (DPI) doit mettre en place une politique d'habilitation rigoureuse et adaptée aux besoins de l'établissement, de sorte que chaque professionnel de santé et agent de l'établissement n'accède qu'aux dossiers dont il a à connaître. Cette politique d'habilitation doit combiner deux critères :

• d'une part, le métier exercé : ainsi, un agent responsable de l'accueil des patients dans la structure ne doit accéder qu'au dossier administratif du patient et non aux données médicales, alors qu'un médecin accèdera également aux données médicales ;
• d'autre part, la prise en compte de la notion d'équipe de soins, telle que définie par l'article L.1110‑12 du code de la santé publique précité, afin que seuls les professionnels effectivement impliqués dans la prise en charge d'un patient ou dans les soins qui lui sont prodigués puissent avoir accès aux informations couvertes par le secret médical.

En outre, il est recommandé de prévoir des mesures de confidentialité renforcées pour certains dossiers particuliers (par exemple, les dossiers de patients provenant d'un établissement pénitentiaire).

Les habilitations accordées peuvent être complétées d'un mode « bris de glace », défini par le référentiel d'authentification des acteurs de santé de la PGSSI-S comme « l'attribution temporaire et exceptionnelle de droits étendus en situation de crise ». Ce mode permet tant aux agents administratifs qu'aux professionnels de santé, en cas d'urgence, d'avoir accès à d'autres données pour tout patient. L'utilisation de ce mode « bris de glace » doit être particulièrement bien tracée et surveillée afin que toute personne y ayant recours puisse être identifiée et justifier des conditions de son utilisation.

Le paramétrage d'un DPI ne permettant pas de limiter le recours en mode « bris de glace » aux situations exceptionnelles est susceptible de constituer un manquement à l'article 32 du RGPD.

Le projet de décret vise à permettre la mise en œuvre d'une application informatique, dénommée « StopCovid », qui pourra être téléchargée sur les téléphones mobiles et qui permettra d'informer les utilisateurs de ces téléphones du fait qu'ils ont été à proximité de personnes diagnostiquées positives au virus du covid‑19 via la technologie « Bluetooth ». Ni les personnes dépistées, ni les cas contacts ne sont identifiés ; les utilisateurs de l'application ne disposent que de très peu d'informations les concernant et le projet de décret consacre le caractère libre et volontaire du téléchargement et de l'utilisation de l'application.

Eu égard à l'objectif de protection de la santé publique poursuivi, le décret ne méconnaît pas ni le droit au respect de la vie privée ni le RGPD. En particulier, la durée du traitement, fixée à six mois après la fin de l'état d'urgence sanitaire, ainsi que la durée de conservation de l'historique de proximité des utilisateurs, fixée à quinze jours à compter de l'émission des données, paraît adaptée.

Le Conseil d'État estime en outre que ce projet ne porte pas secret médical garanti par l'article L. 1110‑4 du code de la santé publique, lequel ne s'impose qu'aux professionnels.

En revanche, le Conseil d'État émet un avis défavorable à une disposition prévoyant que le téléchargement et l'utilisation de l'application ne peuvent donner lieu à des avantages ou droits spécifiques qui seraient refusés aux personnes n'ayant pas téléchargé ou n'utilisant pas l'application et qu'aucun tiers ne peut obliger une personne à utiliser l'application, ni exercer un droit de regard sur l'existence de l'application ou son contenu, dès lors que ces dispositions édictent des interdictions, notamment applicables aux relations entre personnes privées, qui relèvent des principes fondamentaux des obligations civiles et commerciales dont la détermination est réservée au législateur par l'article 34 de la Constitution.

Toutefois, des limites sont posées par la législation en vigueur à des pratiques consistant pour des personnes privées à subordonner des droits ou avantages à l'utilisation de cette application.

Un décret autorise la mise en œuvre, par le ministère de la défense, d'un traitement automatisé de données à caractère personnel ayant pour finalités, d'une part, la gestion administrative des demandes de pensions d'invalidité présentées en application du code des pensions militaires d'invalidité et des victimes de la guerre, et, d'autre part, la préparation et le suivi de la liquidation des dossiers des pensions attribuées au titre du même code. Ce décret, eu égard à son objet et à ses finalités, est justifié par un intérêt public et échappe ainsi, en application du IV de l'article 8 de la loi n°78‑17 du 6 janvier 1978, à l'interdiction de collecte et de traitement des données à caractère personnel relatives à la santé prévue par le I du même article. Compte tenu des dispositions de l'article 5 de la loi n°55‑356 du 3 avril 1955, qui autorisent la communication de renseignements médicaux ou de pièces médicales susceptibles de faciliter l'instruction d'une demande de pension aux services administratifs chargés de l'instruction des demandes, dont les agents sont eux‑mêmes tenus au secret professionnel, le décret n'a par lui‑même et ne pourrait d'ailleurs avoir légalement ni pour objet ni pour effet d'autoriser les services du ministère de la défense à accéder à des données personnelles relatives à la santé dans des conditions dérogeant aux exigences de protection du secret médical garanti par les dispositions de l'article L. 1110‑4 du code de la santé publique.

Des dispositions légales encadrant la transmission, aux services administratifs compétents et aux fins de vérification des conditions encadrant le congé pour invalidité temporaire imputable au service, de données de nature médicale relatives à des agents publics, portent une atteinte disproportionnée au droit au respect de la vie privée dès lors qu'elles répondent aux conditions suivantes : la transmission de ces données intervient sans recueillir préalablement le consentement des agents intéressés et sans que le secret médical puisse être opposé aux services administratifs qui en font la demande ; cette communication peut concerner un très grand nombre d'agents au sein des services administratifs concernés, dont la désignation n'est subordonnée à aucune habilitation spécifique et dont les demandes de communication ne sont soumises à aucun contrôle particulier ; les renseignements en cause peuvent être obtenus auprès de toute personne ou organisme.

Attendu qu’il est notamment reproché aux prévenus, du chef du délit prévu par les articles 42 ancien de la loi n°78‑17 du 6 janvier 1978, et 226‑17 du code pénal, d’avoir, jusqu’en 1994, mis en place un système permettant à chacun des médecins utilisateurs et à leurs secrétaires médicaux d’accéder aux informations d’ordre médical figurant dans les fichiers créés par les autres médecins; Attendu que, pour relaxer les prévenus à raison de ces faits, la cour d’appel retient à raison que les médecins appartenant au syndicat interprofessionnel des médecins du travail du pays d’Aix (SIMTPA) et leurs secrétaires médicales, tenus au secret professionnel, ne peuvent être considérés comme des tiers non autorisés au sens des articles 29 de la loi Informatique et Libertés et 226‑17 du code pénal.

Décret n° 2018‑1254 du 26 décembre 2018 prévoyant l’accès des commissaires aux comptes, dans le cadre de leur mission légale de certification des comptes des établissements publics de santé, et des prestataires extérieurs, aux fins de traitement des données, aux données du dossier médical des patients, lesquelles portent sur l’identité du patient, son lieu de résidence, ses pathologies et les actes de diagnostic et de soins réalisés au cours de son séjour dans l’établissement.

1) Il résulte de l’article L. 823‑9 du code de commerce que les commissaires aux comptes doivent seulement, pour l’accomplissement de leur mission légale de certification des comptes des établissements publics de santé, être en mesure de justifier que les comptes annuels de ces établissements sont réguliers et sincères et donnent une image fidèle du résultat des opérations de l’exercice écoulé ainsi que de leur situation financière et de leur patrimoine.

Il ressort des pièces du dossier, notamment des observations de caractère général présentées par le Haut Conseil du commissariat aux comptes (H3C) en application de l’article R. 625‑3 du code de justice administrative, que l’accès à l’ensemble des données de santé, issues du dossier médical des patients, mentionnées à l’article R. 6113‑1 du code de la santé publique (CSP), est nécessaire à l’accomplissement de cette mission, pour un échantillon de dossiers permettant de vérifier par sondage la fiabilité et la traçabilité des données utilisées pour le calcul des recettes de l’établissement, depuis l’admission du patient jusqu’à la facturation.

En revanche, il n’en ressort pas que cette mission ne puisse être accomplie à partir de données faisant l’objet de mesures de protection techniques et organisationnelles adéquates, telles que – à défaut du recours, à titre d’expériment, à un médecin responsable de l’information médicale dans un autre établissement – la pseudonymisation des données, dont l’article 25 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD) prévoit la mise en œuvre pour protéger les droits de la personne concernée et garantir, à cette fin, que les personnes dont les données sont traitées ne puissent être identifiées.

Par suite, si le décret attaqué a pu, sans méconnaître la portée de l’article L. 6113‑7 du CSP, pour encadrer les conditions dans lesquelles les commissaires aux comptes ont accès à ces données, se borner, d’une part, à prévoir qu’ils peuvent seulement les consulter, dans le cadre de leur mission légale, sans création ni modification de données, avec une information adaptée des patients, en limitant la conservation à la durée strictement nécessaire à cette mission et en rappelant l’obligation de secret à laquelle ils sont soumis, et d’autre part, à limiter leur accès aux seules données « nécessaires… » dans la stricte limite de ce qui est nécessaire à leurs missions, sans exclure par principe leur accès à aucune de ces données, il est en revanche entaché d’illégalité en tant qu’il ne prévoit pas de mesures techniques et organisationnelles propres à garantir la protection du droit de la personne concernée au respect du secret médical rappelé par l’article L. 1110‑4 du CSP.

2) En se bornant à prévoir que les prestataires extérieurs qui contribuent au traitement des données à caractère personnel mentionnées à l’article R. 6113‑1 du CSP sont placés sous la responsabilité du médecin responsable de l’information médicale, qu’ils interviennent dans le cadre de leur contrat de sous‑traitance, qu’ils sont soumis à l’obligation de secret, dont la méconnaissance est punie conformément aux articles 226‑13 et 226‑14 du code pénal, qu’ils peuvent accéder « aux seules données à caractère personnel nécessaires… » dans la stricte limite de ce qui est nécessaire à leurs missions et qu’ils ne peuvent conserver les données mises à disposition par l’établissement au-delà de la durée strictement nécessaire aux activités qui leur ont été confiées par contrat, sans prévoir de mesures techniques et organisationnelles propres à assurer que seules sont traitées, avec des garanties suffisantes, les données identifiables qui sont nécessaires au regard des finalités du traitement ni de dispositions destinées à garantir qu’ils accomplissent effectivement ces activités sous l’autorité du praticien responsable de l’information médicale, quel qu’en soit le lieu, le décret attaqué n’a pas prévu de garanties suffisantes pour assurer que l’accès aux données n’excède pas celui qui est strictement nécessaire à l’exercice de la mission qui leur est reconnue par la loi.

Secret médical, Accès aux données du dossier médical des patients, commissaires aux comptes, mesures techniques et organisationnelles, prestataires extérieurs, garanties suffisantes, exercice de leur mission