La Commission nationale de l’informatique et des libertés,

Saisie par le ministre de la santé et de la prévention d’une demande d’avis concernant le projet d’arrêté fixant les règles de gestion des droits d’accès au dossier médical partagé des professionnels mentionnés à l’article L. 1111-15 et au III de l’article L. 1111-17 du code de la santé publique ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Sur la proposition de M^me Valérie PEUGEOT, commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,

Étant rappelés les éléments de contexte suivants :

La délégation ministérielle au numérique en santé (DNS) a saisi la Commission d’une demande d’avis relative aux évolutions des règles d’accès par les professionnels de santé au dossier médical partagé (DMP), dont la Caisse nationale de l’assurance maladie (CNAM) est responsable de traitement.

Le projet d’arrêté est pris en application de l’alinéa 6 de l’article R. 1111-46 du code de la santé publique (CSP) qui prévoit que les professionnels n’accèdent qu’aux seules données strictement nécessaires à la prise en charge du titulaire du DMP, dans le respect des règles de gestion des droits d’accès définies après consultation de la CNAM, des conseils nationaux des ordres des professionnels de santé et de l’Union nationale des associations agréées d’usagers du système de santé.

La matrice d’habilitation définissant les règles d’accès et le niveau d’information consultable par défaut par les professionnels est annexée au projet. Elle prévoit les règles d’accès en lecture aux volets de contenus du DMP en fonction des profils de professionnels et du type de documents.

Le titulaire du DMP peut à tout moment décider d’étendre ou de restreindre ces autorisations d’accès directement via Mon espace santé, auquel le DMP est désormais intégré. Selon les éléments transmis par le ministère, le médecin traitant du patient, appelé médecin « administrateur », peut accéder à tous les documents, y compris ceux qui ont été masqués par le titulaire du DMP.

La matrice élargit par ailleurs les catégories de professionnels pouvant accéder au DMP à certains professionnels du secteur médico-social et de la coordination, en conséquence de la loi n° 2020-1525 du 7 décembre 2020 d’accélération et de simplification de l’action publique.

Elle intègre enfin de nouveaux types de documents, tels que le dossier de liaison d’urgence ou les documents utiles à la dispensation et aux conseils en pharmacie.

Formule les observations suivantes :

Sur l’accès aux données

Il ne relève pas de la compétence de la Commission d’évaluer, d’un point de vue scientifique et médical, la pertinence de chacun des accès proposés dans la matrice.

Les évolutions proposées paraissent néanmoins justifiées dès lors :

• qu’elles résultent de concertations avec les ordres professionnels et les représentants des usagers ;
• et qu’elles tiennent compte des évolutions du cadre normatif des professions de santé portant sur leur champ de compétence et/ou leur pratiques de soins.

La Commission rappelle que l’accès par un professionnel de santé aux documents contenus dans le DMP ne pourra intervenir que si :

• les documents sont strictement nécessaires à la prise en charge du patient ;
• et le consentement du patient préalablement informé a été recueilli, conformément aux dispositions de l’article L. 1111-17-III du code de la santé publique.

Sur la sécurité des données

Le respect du principe de minimisation est d’autant plus important que les risques inhérents à la mise en œuvre du DMP, notamment en matière d’accès non autorisés ou de violation des données, vont être accrus du fait de son intégration à « Mon espace santé » et de la généralisation de son usage.

La Commission accueille favorablement les mesures organisationnelles prévues afin de garantir la confidentialité et la sécurité des données, notamment l’identification des professionnels et la traçabilité des accès aux DMP par l’utilisation de moyens d’identification électronique. L’extension du Répertoire partagé des professionnels de santé (RPPS) aux professionnels du secteur médico-social et intervenant dans le domaine de la coordination des soins permet, par le biais de « Pro Santé Connect », de garantir cette traçabilité et cette sécurité pour tous les professionnels concernés.

Enfin, la Commission invite le ministère à accompagner cette matrice, comme cela été fait pour la précédente version, d’une mention rappelant les principes régissant l’accès au DMP par les professionnels, ainsi que les sanctions encourues en cas de violation du secret professionnel.

La Présidente

Marie-Laure DENIS