keyboard_arrow_right
Déontologie

Résultats

Résultats

Droits du patient20/03/2021 Code de document: a168007
Droit du patient à la rectification ou à l’effacement des données de son dossier médical.

Le Conseil national de l’Ordre des médecins a examiné le droit du patient à la rectification ou à l’effacement des données de son dossier médical.

Le patient a droit à la consultation du dossier le concernant.[1] Dans le cadre du patient empowerment, le patient participe plus activement à son processus de soins et prend plus fréquemment connaissance de ses données médicales, notamment via les réseaux de santé.

En conséquence, de plus en plus de médecins reçoivent des demandes de leurs patients de rectification et/ou d’effacement de certaines données de leur dossier médical.

  1. Droit de rectification

Le patient a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel le concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.[2] Le droit de rectification est un droit fondamental.[3]

Les données à caractère personnel doivent être exactes et, si nécessaire, actualisées. Toutes les mesures raisonnables doivent être prises pour effacer ou rectifier, sans tarder, les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées.[4]

L’exactitude des données doit être examinée. Les données doivent être rectifiées ou complétées si et seulement si le médecin constate qu’elles sont inexactes ou incomplètes.

Ce droit n’est pas destiné à permettre de contester un diagnostic médical, qui est le résultat d’une appréciation professionnelle et qui constitue donc une « opinion médicale ».[5] Les contestations subjectives concernant le diagnostic sont appréciées par le médecin concerné et sont, le cas échéant, laissées sans suite. Le médecin note dans le dossier patient que le diagnostic est contesté et par qui.

Par contre, ce droit pourrait être exercé dans des situations où par exemple, le dossier contient des erreurs dues à un traitement inexact de données à caractère personnel.[6] Dans ce contexte, l’on pourrait ainsi penser à l’enregistrement erroné du groupe sanguin du patient[7], à une erreur orthographique dans le nom du patient ou à une erreur manifeste de diagnostic. Il convient de toujours corriger gratuitement les erreurs que l’on peut constater objectivement.

  1. Droit d’effacement des données

Dans certains cas[8], le patient a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel le concernant.[9]

Le droit à l’effacement ne s’applique pas dans la mesure où le traitement est nécessaire pour des raisons d’intérêt général dans le domaine de la santé publique, pour la dispense de soins de santé et dans la mesure où le responsable du traitement est tenu au secret professionnel.[10]

La pertinence du droit à faire effacer gratuitement les données de santé est donc minime. Le traitement et la conservation des données de santé sont nécessaires pour la dispense de soins de qualité. Par conséquent, le patient n’a pas le droit de faire supprimer des données pertinentes à caractère personnel ou de santé de son dossier médical. Le délai de conservation des données de santé s’élève à minimum 30 ans[11] et maximum 50 ans à compter du dernier contact avec le patient.[12]

Ceci ne signifie pas que le médecin peut reprendre n’importe quelles données du dossier médical. Le médecin doit tenir compte des principes de minimisation du traitement des données, de proportionnalité et de nécessité. Autrement dit, le traitement des données est adéquat, pertinent et limité à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées.[13]

Lors de la rédaction de documents et notes, le médecin doit à chaque fois vérifier l’exactitude et la pertinence des données à caractère personnel et de santé.


[1] Article 9, § 2, Loi du 22 août 2002 concernant les droits du patient

[2] Article 16, Règlement général sur la protection des données

[3] Cour d’appel de Bruxelles – 2020/AR/721

[4] Article 5, 1, Règlement général sur la protection des données ; article 170, Loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel

[5] Décision 21/2020 du 30 avril 2020 de la Chambre contentieuse de l’Autorité de protection des données ; Cour d’appel de Bruxelles – 2020/AR/721

[6] Décision 21/2020 du 30 avril 2020 de la Chambre contentieuse de l’Autorité de protection des données

[7] Cour d’appel de Bruxelles – 2020/AR/721

[8] (a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ; (b) la personne concernée retire le consentement sur lequel est fondé le traitement, et il n’existe pas d’autre fondement juridique au traitement ; (c) la personne concernée s’oppose au traitement et il n’existe pas de motif légitime impérieux pour le traitement ; (d) les données à caractère personnel ont fait l’objet d’un traitement illicite ; (e) les données à caractère personnel doivent être effacées pour respecter une obligation légale ; (f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information aux mineurs

[9] Article 17, 1 et 2, Règlement général sur la protection des données

[10] Article 17, 3, Règlement général sur la protection des données

[11] Article 24, Code de déontologie médicale

[12] Article 35, Loi du 22 avril 2019 relative à la qualité de la pratique des soins de santé

[13] Article 5, 1, c), Règlement général sur la protection des données

Vie privée27/04/2019 Code de document: a165001
Lignes directrices pour les médecins concernant le Règlement général sur la protection des données

Lignes directrices pour les médecins concernant le Règlement général sur la protection des données

Le 27 avril 2016, le Parlement européen et le Conseil de l'Europe ont adopté un règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, soit le Règlement général sur la protection des données (RGPD) qui est entré en vigueur le 25 mai 2018.

Puisque les médecins traitent des données de santé et des données sensibles de leurs patients dans l'exercice de leur profession, il convient qu'ils intègrent les prescriptions de cette législation dans leur pratique quotidienne et qu'ils suivent les développements en la matière.

Étant donné que la déontologie médicale(1) concerne notamment le respect de la vie privée du patient qui est traitée dans plusieurs articles du code de déontologie médicale, le Conseil national de l'Ordre des médecins a rédigé cet avis et a prévu de donner aux médecins la possibilité de poser des questions via l'adresse électronique : privacy@ordomedic.be.

1. Généralités

Le RGPD approfondit la législation existant en matière de vie privée. Le médecin qui respecte la législation existante en matière de vie privée ne devra que légèrement modifier ses pratiques

Les principes généraux de la réglementation liés au droit à la vie privée, concernant certains droits du patient(2) et le secret professionnel, restent inchangés.

Un médecin individuel ou une pratique de groupe n'aura pas à investir beaucoup pour la mise en œuvre de la nouvelle législation. Le Conseil national tient à mettre en garde les médecins contre les entreprises qui proposent des services onéreux pour la mise en œuvre du RGPD dans leur pratique.

La nouvelle réglementation impose cependant de nouvelles mesures, comme la désignation d'un « délégué à la protection des données »(3) et la tenue d' un « registre des activités de traitement ».

2. Désignation d'un délégué à la protection des données

Le délégué à la protection des données (ci-après « DPD ») informe et conseille le responsable du traitement des données ou le sous-traitant de leurs obligations découlant du RGPD ou d'autres mesures de protection des données. Il veille au respect de la réglementation et de la politique en la matière, comme l'attribution de responsabilités, la conscientisation et la formation des personnes concernées par le traitement des données à caractère personnel(4). En outre, le DPD collabore avec l'autorité de contrôle et intervient comme point de contact(5).

Un médecin individuel ou une pratique de groupe ne doit pas désigner de DPD. La désignation est uniquement obligatoire dans le cas du traitement d'une quantité considérable de données de santé, comme dans les hôpitaux ou dans les structures qui comptent au moins 250 employés.

3. Registre des activités de traitement

Chaque médecin doit tenir un registre des activités de traitement des données. Ce registre est un fichier dans lequel le médecin décrit les données à caractère personnel qu'il collecte, comment il les sécurise, pour quelles raisons il les recueille, où il les conserve, pour quelle durée et s'il les transfère.(6)

La création de ce registre impose au médecin de réfléchir à la façon dont il gère les données à caractère personnel des patients et/ou du personnel qu'il emploie. C'est une amorce de restructuration de la gestion des données. Si le médecin constate qu'il ne sécurise pas bien certaines données à caractère personnel ou qu'il n'en a plus besoin pour l'exercice de sa profession de médecin, il devra prendre les mesures qui s''imposent.

Le Conseil national mettra prochainement à disposition un modèle de registre des activités de traitement des données.

4. Personnes autres que le médecin à avoir accès aux données à caractère personnel du patient

Le médecin indique les catégories de personnes ayant accès aux données à caractère personnel de ses patients. Leur statut vis-à-vis du traitement des données concernées est précisément décrit et documenté(7). Cette information est ajoutée au registre des activités de traitement des données.

Le médecin veille à ce que les personnes concernées par une obligation légale ou statutaire ou par une disposition contractuelle équivalente s'engagent à respecter le caractère confidentiel des données concernées. Toute personne ayant accès aux dossiers des patients doit avoir signé une clause de confidentialité dans son contrat de travail de collaboration.

Accès ne signifie pas que ces personnes travaillent réellement avec les dossiers patients. La simple possibilité de consulter ces dossiers suffit. La signature de ce contrat est un moment propice pour informer les collaborateurs de leurs droits et devoirs lors du traitement de données à caractère personnel.

5. Mesures à prendre (général)

Pour l'exercice de sa profession, le médecin collecte des données sur la santé de ses patients. Il s'agit d'une catégorie particulière de données à caractère personnel(8). Les données concernant la santé sont des données à caractère personnel relatives à la santé physique ou mentale d'une personne, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne.(9)

Le médecin prend toutes les mesures nécessaires pour respecter le droit à la vie privée du patient, pour sécuriser les données sensibles de façon optimale et éviter les « fuites de données ».

6. Transmission des données à caractère personnel

Il arrive régulièrement que le médecin ait à transmettre des données de santé de ses patients : soit au patient lui-même(10), soit à des tiers(11).

En cas de transfert des données de santé, le médecin doit toujours évaluer s'il peut envoyer les données à un destinataire tiers. Le secret professionnel ne permet pas au médecin de fournir les données de santé de ses patients à des tiers. Le médecin peut donc seulement transmettre les données de santé s'il existe une base légale.

En cas de transfert de données de santé à des tiers, à la demande du patient, le médecin doit apprécier si le patient n'est pas le mieux placé en raison de son droit à l'autodétermination pour décider quelles informations il souhaite partager et avec qui.

Le transfert de données de santé doit se faire d'une façon particulièrement sécurisée. Les données de santé ne peuvent être envoyées numériquement que par des systèmes avec authentification à plusieurs facteurs. Par conséquent, le médecin ne peut pas envoyer de données médicales par e-mail non sécurisé, même pas dans le cas où le patient a marqué son accord.

Le médecin doit utiliser les applications de réseaux d'informations sécurisées, avec un niveau de sécurisation conforme aux règles en vigueur.

7. Logiciel (Software)

Le médecin qui utilise un logiciel ou achète un nouveau logiciel destiné à la gestion de sa pratique ou à la sécurisation des données à caractère personnel doit toujours se renseigner auprès du fournisseur sur les paramètres de confidentialité. Ce fournisseur doit respecter le RGPD et doit communiquer en toute transparence à ce propos. Le médecin reste cependant responsable au cas où le software ne satisferait pas aux conditions légales.

En cas d'intervention de tiers lors du traitement de données à caractère personnel sous la responsabilité du médecin, la collaboration, la sécurisation et le déroulement du traitement doivent être fixés contractuellement dans un contrat de traitement des données. De nombreuses entreprises ont déjà développé des modèles et ont adapté leurs conditions générales. Il est recommandé de vérifier si ces dispositions sont adéquates.

8. Sensibilisation à la nouvelle réglementation

Le médecin conscientise ses collaborateurs aux mesures de sécurité qui protègent les données des patients et il détermine qui a accès et à quelles données.

Si une personne non compétente a toutefois accès aux données de santé de patients ou à d'autres données sensibles que le médecin détient dans le cadre de ses activités, on parle alors de « fuite de données »(12).

Les fuites de données doivent être enregistrées et signalées, selon la gravité, à l'autorité de protection des données et aux personnes concernées(13) endéans un délai de 72 heures.

9. Avenir

Les autorités, institutions et autres acteurs impliqués dans le traitement des données de santé prennent en compte ce nouveau règlement européen. À l'avenir, de nouvelles directives européennes devraient préciser comment les acteurs des soins de santé doivent traiter les données des patients.


(1) Il s'agit essentiellement du chapitre 2, « Respect », du Code de déontologie médicale

(2) Articles 9 et 10 de la loi du 22 août 2002 relative aux droits du patient (droit à un dossier patient conservé en lieu sûr, droit à la protection de la vie privée)

(3) La dénomination anglaise souvent utilisée est « Data Protection Officer » ou « DPO »

(4) Par exemple le secrétariat, le personnel soignant qui assiste le médecin

(5) Article 39, Règlement général sur la protection des données

(6) Article 30, Règlement général sur la protection des données

(7) Loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel

(8) Article 9, Règlement général sur la protection des données

(9) Article 4, 15, Règlement général sur la protection des données

(10) Par exemple les résultats d'un examen ou lors de l'exercice du droit à la consultation du dossier patient

(11) Par exemple à des confrères-médecins qui traitent le patient dans le cadre du secret professionnel partagé, à l'INAMI sur la base d'une législation particulière, etc.

(12) Par exemple, cambriolage, piratage, données de santé envoyées à la mauvaise personne, etc.

(13) Article 33, Règlement général sur la protection des données