Refus de communication du dossier médical d’un patient par un chirurgien-dentiste : sanction financière prononcée par la CNIL à l’encontre du cabinet dentaire
Le patient d’un chirurgien-dentiste, exerçant son activité au sein d’une société d’exercice libéral, a souhaité obtenir communication de son dossier médical.
Le 19 novembre 2015, en l’absence de réponse à sa demande par son chirurgien-dentiste, le patient a décidé de déposer une plainte auprès de la Commission Nationale de l’Informatique et des Libertés (ci-après la CNIL).
Par courrier en date du 25 janvier 2016, les services de la CNIL se sont alors rapprochés du cabinet dentaire et ont demandé à ce dernier de formuler ses observations.
En l’absence de réponse de sa part, les services de la CNIL ont réitéré leur demande auprès du cabinet dentaire par courriers recommandés en date des 1er mars et 14 avril 2016.
Ces courriers sont, une nouvelle fois, demeurés sans réponse.
Au vu de ce manquement, la Présidente de la CNIL a alors mis en demeure le cabinet dentaire, par décision n°2016-071 du 24 octobre 2016, de définir et de mettre en œuvre une procédure effective de droit d’accès et de garantir, dans ce cadre, l’exercice du droit d’accès des personnes aux données à caractère personnel contenues dans leur dossier médical.
Par ailleurs, il a été enjoint au cabinet dentaire de communiquer au patient une copie de son dossier médical.
Cette décision lui a été notifiée par la CNIL, le 26 octobre 2016.
En l’absence de réponse dans le délai imparti d’un mois, une lettre de relance a été adressée au cabinet dentaire, le 16 décembre 2016, par courrier recommandé.
Ce courrier est revenu à la CNIL, le 13 janvier 2017, avec la mention « pli avisé et non réclamé ».
Aucune réponse n’ayant été apportée par le cabinet dentaire, la Présidente de la CNIL a désigné, le 31 janvier 2017, Madame Valérie PEUGEOT, en qualité de rapporteur, sur le fondement de l’article 46 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi du 6 août 2004.
À l’issue de son instruction, Madame le rapporteur a fait notifier, le 27 février 2017, au cabinet dentaire, par voie d’huissier de justice, un rapport détaillant les manquements à la loi qu’elle estimait constitués.
Ce rapport proposait à la formation restreinte de la CNIL de prononcer à l’encontre du cabinet dentaire une sanction pécuniaire qui ne saurait être inférieure à 15.000 euros et qui serait rendue publique.
En outre, était également jointe à ce rapport, une convocation pour la séance de la formation restreinte de la CNIL du 13 avril 2017, étant précisé au cabinet dentaire qu’il disposait d’un délai d’un mois pour communiquer ses éventuelles observations écrites.
Le 24 mars 2017, le cabinet dentaire a, par l’intermédiaire de son Conseil, transmis ses observations écrites, lesquelles ont été réitérées oralement lors de la séance de la formation restreinte de la CNIL.
Aux termes de ses observations, le cabinet dentaire alléguait avoir d’ores et déjà répondu à la demande du patient en lui adressant, par courrier simple, en octobre 2016, puis par courrier recommandé, le 20 mars 2017, un exemplaire de son dossier médical.
Le cabinet dentaire soutenait également qu’il se serait, au préalable, renseigné sur ses obligations déontologiques, notamment afin de s’assurer que les données contenues dans le dossier médical du patient n’étaient pas couvertes par le secret médical.
Enfin, le cabinet ajoutait qu’une consultation sur place de son dossier médical par le patient se serait révélée impossible compte tenu du « comportement belliqueux du plaignant ».
Néanmoins, aux termes de sa délibération n°SAN-2017-008 du 18 mai 2017 (CNIL, Délibération n°SAN-2017-008, 18 mai 2017), la CNIL n’a pas fait droit à l’argumentation développée par le cabinet dentaire et ce au visa des articles 39 I 4° et 43 de la loi du 6 janvier 1978 précitée.
En effet, le premier de ces textes dispose que :
« toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données à caractère personnel en vue d’obtenir la communication, sous une forme accessible, des données à caractère personnel qui le concernent ainsi que de toute information disponible quant à l’origine de celles-ci. (…). Une copie des données à caractère personnel est délivrée à l’intéressé à sa demande ».
L’article 43 de la loi du 6 janvier 1978 rappelle quant à lui que :
« Lorsque l’exercice du droit d’accès s’applique à des données de santé à caractère personnel, celles-ci peuvent être communiquées à la personne concernée, selon son choix, directement ou par l’intermédiaire d’un médecin qu’elle désigne à cet effet, dans le respect des dispositions de l’article L.1111-7 du Code de la Santé Publique ».
L’article L.1111-7 précité précise que :
« Toute personne a accès à l’ensemble des informations concernant sa santé détenues, à quelque titre que ce soit, par des professionnels et établissements de santé, qui sont formalisées ou ont fait l’objet d’échanges écrits entre professionnels de santé, notamment des résultats d’examen, comptes rendus de consultation, d’intervention, d’exploration ou d’hospitalisation, des protocoles et prescriptions thérapeutiques mis en œuvre, feuilles de surveillance, correspondances entre professionnels de santé, à l’exception des informations mentionnant qu’elles ont été recueillies auprès de tiers n’intervenant pas dans la prise en charge thérapeutique ou concernant un tel tiers.
Elle peut accéder à ces informations directement ou par l’intermédiaire d’un médecin qu’elle désigne et en obtenir communication, dans des conditions définies par voie réglementaire au plus tard dans les huit jours suivant sa demande et au plus tôt après qu’un délai de réflexion de quarante-huit heures aura été observé. Ce délai est porté à deux mois lorsque les informations médicales datent de plus de cinq ans ou lorsque la commission départementale des soins psychiatriques est saisie en application du quatrième alinéa. Lorsque la personne majeure fait l’objet d’une mesure de protection juridique, la personne en charge de l’exercice de la mesure, lorsqu’elle est habilitée à représenter ou à assister l’intéressé dans les conditions prévues à l’article 459 du code civil, a accès à ces informations dans les mêmes conditions.
La présence d’une tierce personne lors de la consultation de certaines informations peut être recommandée par le médecin les ayant établies ou en étant dépositaire, pour des motifs tenant aux risques que leur connaissance sans accompagnement ferait courir à la personne concernée. Le refus de cette dernière ne fait pas obstacle à la communication de ces informations.
A titre exceptionnel, la consultation des informations recueillies, dans le cadre d’une admission en soins psychiatriques décidée en application des chapitres II à IV du titre Ier du livre II de la troisième partie du présent code ou ordonnée en application de l’article 706-135 du code de procédure pénale, peut être subordonnée à la présence d’un médecin désigné par le demandeur en cas de risques d’une gravité particulière. En cas de refus du demandeur, la commission départementale des soins psychiatriques est saisie. Son avis s’impose au détenteur des informations comme au demandeur.
Sous réserve de l’opposition prévue aux articles L. 1111-5 et L. 1111-5-1, dans le cas d’une personne mineure, le droit d’accès est exercé par le ou les titulaires de l’autorité parentale. À la demande du mineur, cet accès a lieu par l’intermédiaire d’un médecin.
En cas de décès du malade, l’accès des ayants droit, du concubin ou du partenaire lié par un pacte civil de solidarité à son dossier médical s’effectue dans les conditions prévues au dernier alinéa du V de l’article L. 1110-4.
La consultation sur place des informations est gratuite. Lorsque le demandeur souhaite la délivrance de copies, quel qu’en soit le support, les frais laissés à sa charge ne peuvent excéder le coût de la reproduction et, le cas échéant, de l’envoi des documents ».
Or, en l’espèce, la CNIL commence par constater que le cabinet dentaire n’établissait pas avoir fait droit à la demande du patient dans le délai d’un mois qui lui était imparti.
En effet, le cabinet dentaire n’était pas en mesure de produire le courrier simple qu’il aurait adressé au patient, en octobre 2016, pour lui transmettre son dossier médical.
Par ailleurs, la CNIL rappelle que les obligations déontologiques, notamment celles liées au secret médical, ne pouvaient être opposées au patient dès lors que les textes précités prévoient le droit du patient d’accéder à ses données de santé.
Enfin, le comportement prétendument belliqueux du patient ne pouvait justifier un quelconque refus de transmission de son dossier médical.
En effet, un tel refus ne peut se justifier qu’en cas de demande manifestement abusive du patient, ce qui n’était pas le cas en l’espèce.
Par conséquent, au vu de l’ensemble de ces éléments, la CNIL considère que le cabinet dentaire a commis un manquement aux obligations décloulant de l’article 39 I 4° de la loi du 6 janvier 1978 modifiée en ne se conformant pas à la décision de la Présidente de la CNIL n°2016-071 du 21 octobre 2016 dans le délai imparti, laquelle lui enjognait notamment de transmettre une copie de son dossier médical au patient.
Au surplus, la CNIL relève que le cabinet dentaire n’a jamais adressé aucune réponse aux différents courriers adressés par la commission que ce soit dans le cadre de l’instruction de la plainte ou dans les suites de la mise en demeure de la Présidente.
Selon la CNIL, ce comportement « démontre un défaut manifeste de prise en compte des questions Informatiques et Libertés liées au traitement des données à caractère personnel » et ce, en parfaite violation de l’article 21 de la loi du 6 janvier 1978 modifié qui dispose que :
« Les ministres, autorités publiques, dirigeants d’entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s’opposer à l’action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche ».
Ainsi, selon la CNIL le cabinet dentaire a manqué, d’une part à son obligation de respecter le droit d’accès des patients à leur dossier médical et, d’autre part à son obligation de coopération avec la commission.
Par conséquent, la CNIL prononce à l’encontre du cabinet dentaire une sanction financière d’un montant de 10.000 euros et ce, dès lors que le patient a été privé, pendant plusieurs mois, de la possibilité de transmettre les données relatives à son état de santé dentaire à un nouveau praticien.
De plus, compte tenu de la persistance dans le temps des manquements commis par le cabinet dentaire malgré les nombreuses diligences effectuées à son égard par la CNIL, cette dernière décide de rendre publique sa décision.
En effet, la CNIL estime nécessaire de sensibiliser les personnes et les responsables de traitement aux droits et obligations issus de la loi Infomatique et Libertés, en particulier à l’importance de répondre aux demandes de la Présidente et de mettre effectivement en œuvre les mesures requises.
Force est donc de constater que la loi Informatique et Libertés du 6 janvier 1978 constitue, avec les dispositions du Code de la Santé Publique (Article L.1111-7), une garantie supplémentaire pour les patients afin que ces derniers puissent effectivement accéder à leurs données de santé et à leurs dossiers médicaux.
Par ailleurs, aux côtés du juge judiciaire, la CNIL constitue désormais un nouveau levier permettant d’imposer aux professionnels et établissements de santé de communiquer les dossiers médicaux de leurs patients à première demande.
En effet, à défaut de transmission volontaire des dossiers médicaux à leurs patients, les professionnels de santé libéraux s’exposent maintenant, en plus d’une éventuelle injonction sous astreinte et d’une éventuelle condamnation à verser des dommages-intérêts au patient par le juge judiciaire en application de l’article L.1111-7 du Code de la Santé Publique, à une sanction financière de la CNIL sur le fondement des articles 21, 39 I 4° et 43 de la Loi Informatique et Libertés.
Au surplus, une éventuelle saisine du Conseil de l’Ordre des Chirurgiens Dentistes serait également possible pour voir prononcer une sanction disciplinaire à l’encontre du professionnel de santé qui refuserait de communiquer le dossier médical de son patient.
Les voies de droit et les sanctions sont donc nombreuses pour permettre aux patients d’accéder effectivement à leurs données de santé.
Quant aux établissements publics de santé, c’est la CADA (la Commission d’Accès aux Documents Administratifs) qui se charge, aux côtés du juge administratif, de faire respecter le droit d’accès des patients à leurs dossiers médicaux.