keyboard_arrow_right
Déontologie

Projet BeHealth

En sa séance du 26 novembre 2005, le Conseil national s’est à nouveau penché sur le projet BeHealth. Il constate que le projet est actuellement en phase de réalisation. Il a à cet égard appris par les annales parlementaires que « la stratégie de développement des soins de santé par voie électronique s’appuie sur trois chantiers complémentaires et distincts », devant chacun faire l’objet d’une initiative réglementaire spécifique.

Le Conseil national vous fait connaître ses objections par rapport au dernier avant-projet de loi dont il a connaissance et tel qu’il lui a avez fait parvenir par e-mail en date du 10 octobre 2005 afin que vous puissiez prendre en compte ses remarques dans le cadre des trois « chantiers » visant la mise en place du projet BeHealth.

Ces remarques sont les suivantes :

1/ Les données de santé.

L’article 2, 1° de l’avant-projet de loi définit les données de santé comme suit :

« toute donnée à caractère personnel qui livre par son contenu ou par son utilisation une information sur l’état antérieur, actuel ou futur de la santé physique ou psychique d’une personne physique identifiée ou identifiable, à l’exception des données qui sont légitimement et exclusivement utilisées pour des finalités administratives ou comptables relatives à la prévention, aux soins ou à l’application des droits sociaux».

Cette définition n’est pas vide de conséquences en matière de secret professionnel. Elle est en outre manifestement inadéquate.

1.1/ Une définition inadéquate

Le Conseil national est d’avis que la définition de données de santé, telle que reprise dans l’avant-projet de loi, souffre au moins deux écueils :

1/ Si une donnée personnelle relative à la santé constitue en soi une donnée de santé, le contraire n’est pas toujours vrai : une donnée de santé n’est pas toujours personnelle. (Un simple numéro de nomenclature par exemple constitue une donnée de santé sans pour autant, dans tous les cas, constituer une donnée personnelle relative à la santé. Tel ne serait le cas que si le numéro de nomenclature attesterait d’un soin donné à une personne identifiée ou identifiable).

Une donnée de santé anonyme ne nécessite pas nécessairement de protection particulière en matière de vie privée ou en matière de secret professionnel. Une donnée personnelle relative à la santé par contre mérite une protection particulière du fait même qu’elle concerne une personne identifiée ou identifiable.

La législation en matière de vie privée, relayée en cela par la commission de la protection de la vie privée, a toujours considéré les données à caractère personnelles relatives à la santé comme des données sensibles dès lors qu’elles s’attachent à une personne identifiée ou identifiable, et pas dès lors qu’elles sont utilisées dans un contexte déterminé.

La définition, telle que reprise dans l’avant-projet de loi, ne reflète pas cette évidence.

2/ En outre, le Conseil national est d’avis que le fait de définir une donnée personnelle relative à la santé par l’utilisation qui en sera faite constitue une erreur de logique.

Tout comme une chaise reste une chaise même lorsque personne n’est assis dessus, une donnée personnelle relative à la santé en reste une même si elle est utilisée dans un contexte administratif ou comptable.

A cet égard, le Conseil national constate qu’il découle clairement de l’article 7 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel (et particulièrement des articles 7, §2, b), c) et i)) que les données personnelles relatives à la santé le restent, même utilisées dans un contexte administratif ou comptable.

1.2/ Une définition lourde de conséquences.

La définition de « donnée de santé » reprise à l’article 2 de l’avant-projet de loi est lourde de conséquences négatives en matière de secret professionnel et de protection de la vie privée.

- Le secret professionnel

Pour rappel, l’article 458 du Code pénal est rédigé comme suit :

«Les médecins, chirurgiens, officiers de santé, pharmaciens, sages-femmes et toutes autres personnes dépositaires, par état ou par profession, des secrets qu'on leur confie, qui, hors le cas où ils sont appelés à rendre témoignage en justice (ou devant une commission d'enquête parlementaire) et celui où la loi les oblige à faire connaître ces secrets, les auront révélés, seront punis d'un emprisonnement de huit jours à six mois et d'une amende de cent francs à cinq cents francs ».

La Cour de cassation, dans un arrêt de principe du 16 décembre 1992, énonce que « le secret professionnel auquel l’article 458 du Code pénal soumet les praticiens de l’art de guérir, repose sur la nécessité d’assurer une entière sécurité à ceux qui doivent se confier à eux ».

La nouvelle définition de donnée de santé réduit considérablement la portée du secret professionnel, en considérant les données utilisées dans un contexte administratif ou comptable comme des données librement transmissibles.

Dès lors que les données à caractère personnel relatives à la santé ne perdent pas leur caractère personnel lorsqu’elles sont utilisées dans un contexte administratif ou comptable, le Conseil national est d’avis que la divulgation de ces données dans de tels contextes est susceptible de violer le secret professionnel.

Maintenir le principe du secret professionnel en en limitant progressivement et considérablement les possibilités d’application conduit à faire du secret une « coquille vide ». Les conséquences pratiques pour le patient pourraient être multiples.

Les patients sont très attachés au secret professionnel de leurs médecins : il en va de leur intérêt.

- La protection de la vie privée.

La définition de « donnée de santé » reprise à l’article 2 de l’avant-projet de loi est également lourde de conséquences négatives en matière de protection de la vie privée. S’il n’est pas exact qu’une donnée personnelle relative à la santé perdrait son caractère personnel dans un contexte administratif ou comptable, il apparaît légitime que même dans ces contextes, une protection de ces données soit garantie.

L’article 7 de la loi du 8 décembre 1992 ne s’y est d’ailleurs pas trompé.

L’expérience du Conseil national et des conseils provinciaux de l’Ordre des médecins montre à suffisance que les données à caractère personnel relatives à la santé méritent largement, si pas particulièrement, une protection en matière de secret professionnel et de vie privée dans le contexte administratif ou comptable, dans le domaine de la prévention ou encore dans celui des droits sociaux.

Le Conseil national est dès lors d‘avis qu’il serait davantage opportun de définir les données à caractère personnel relatives à la santé plutôt que, plus largement, les données de santé.

Cette définition serait la suivante : « toute donnée à caractère personnel qui livre une information sur l’état antérieur, actuel ou futur de la santé physique ou psychique d’une personne physique identifiée ou identifiable ».

2/ Le numéro d’identification santé personnel (NISP)

L’idée d’un identifiant de santé spécifique pour chaque individu, grâce auquel l’on pourrait accéder à la totalité de ses épisodes de santé depuis le berceau jusqu’à la tombe, à condition bien entendu que chaque épisode ait été rapporté par l’unité de soins ou par le médecin soignant et que toutes les institutions aient été interconnectées, n’est pas neuve.

Dans le cas présent, il s’agit d’attribuer un numéro unique sous lequel seront groupées toutes les données à caractère personnel relatives à la santé de l’individu, quelque soit l’endroit ou le moment où les soins lui ont été donnés.

Le Conseil national s’inquiète de l’utilisation qui pourrait être faite du numéro d’identification santé personnel pour d’autres finalités que les soins médicaux ou la recherche scientifique.

Certes, la commission de la protection de la vie privée a, à plusieurs reprises, recommandé l’usage d’un numéro de patient unique (avis n° 14/2002 du 8 avril 2002, avis n° 19/2002 du 10 juin 2002, avis n° 30/2002 du 12 août 2002, avis n° 33/2002 du 22 août 2002, avis n° 10/2004 du 23 septembre 2004, avis n° 01/2005 du 10 janvier 2005). Toutefois, cette recommandation s’accompagnait régulièrement d’une mise en garde : il convient de garantir une étanchéité des circuits d’informations entre les données à caractère personnel relatives à la santé et celles de sécurité sociale, ainsi qu’entre les données à caractère personnel relatives à la santé et celles du registre national.

Cette étanchéité n’est pas garantie dans l’état actuel du projet gouvernemental, et ce, pour au moins trois raisons :

1/ L’article 3, §1er in fine :

Le couplage logique entre le NISP (numéro d’identification santé personnel) et le NISS (numéro d’identification de la sécurité sociale), même s’il est réputé individuellement irréversible, permet la reconstitution d’un fichier national des NISP à partir du Registre national ou du registre des NISS.

Le Conseil national considère que le NISP doit impérativement être généré de manière aléatoire, et en aucune façon issu de la transformation logique de données à caractère personnel, fut-elle réputée irréversible.

2/ L’article 3, §3, 5°.

Le quinto du 3ème paragraphe de l’article 3 permet le couplage entre les données de sécurité sociale et les données à caractère personnel relatives à la santé.

3/ L’article 12, §3.

L’article 12, §3, du projet est rédigé comme suit :

« Pour les cas où le médecin traitant est le gestionnaire du dossier médical global du patient, les Organismes assureurs fournissent les données suivantes :

l’identification du médecin généraliste agréé
l’identification du patient via un numéro d’identification santé personnel ».

Si l’Organisme assureur peut fournir le numéro d’identification santé personnel du patient, il nous faut en conclure qu’il peut coupler le NISP et le NISS.

Le Conseil national s’inquiète en outre de ce que Be-Health organise lui-même le contrôle des transactions de données de santé qu’il opère.

3/ Le dossier de santé partagé.

L’avant-projet de loi met en place le principe d’un dossier de santé partagé. Différentes remarques peuvent être émises à ce sujet.

3.1/ La méthodologie.

Le Conseil national n’est pas convaincu de la réelle plus-value thérapeutique du dossier de santé partagé tel que décrit dans l’actuel projet.

La transmission de l’intégralité des données à caractère personnel relatives à la santé d’un individu n’est pas toujours nécessaire pour l’administration de soins de qualité et il n’est généralement pas requis de disposer de l’inventaire complet du passé médical du patient, mais uniquement de ses éléments pertinents.

Le dossier de santé partagé tel que décrit ne devrait pas être mis en place sans que son utilité scientifique ne soit démontrée.

3.2/ La vie privée et le secret professionnel

Il est évident que le dossier de santé partagé entraîne d’importants bouleversements dans la manière dont il est jusqu’ici requis de protéger la vie privée. Le Conseil national estime ne pas disposer jusqu’ici de suffisamment d’éléments pour pouvoir saisir la portée de ces bouleversements.

Le principe toutefois du dossier de santé partagé, tel qu’il est décrit dans l’avant-projet, suscite d’emblée la remarque suivante : il n’est pas acceptable que chaque professionnel de la santé (en ce compris les pharmaciens, kinésithérapeutes, dentistes et infirmiers) participant aux soins ait accès à l’ensemble des données concernant le patient.

La manière dont seront désignés les professionnels participant aux soins est en outre particulièrement nébuleuse (voir ci-dessous). La question de savoir si l’échange des informations est suffisamment sécurisé reste très largement en suspens. Cette question est pourtant essentielle afin de garantir la confidentialité des données à caractère personnel relatives à la santé du patient. Le Conseil national tient à faire remarquer à cet égard que l’accès au dossier de santé partagé DOIT faire l’objet d’une application différenciée selon la catégorie ou la spécialité du professionnel de santé.

Il nous faut également constater que la manière dont sont traitées les données personnelles peut varier d’une profession à l’autre, étant donné que la notion de « secret professionnel » peut être appliquée différemment entre deux droits disciplinaires différents. Le dossier de santé partagé interroge donc également le droit disciplinaire.

Le Conseil national estime que le principe de « dossier de santé partagé » mérite une large réflexion.

3.3/ La faisabilité

A la lecture des dispositions de l’avant-projet concernant le dossier de santé partagé, il nous est permis de nous interroger sur sa faisabilité pratique.

- L’informatisation

L’idée du dossier partagé repose entièrement sur le postulat suivant lequel les professionnels de la santé disposent d’un matériel informatique suffisant et qu’ils gèrent les dossiers de leurs patients via des logiciels spécifiques, compatibles entre eux.

L’informatisation globale et organisée de l’ensemble des professionnels de la santé nécessite du temps et de la volonté : il nous est permis de douter quant aux possibilités réelles d’application sur le terrain, à l’heure actuelle et à moyen terme, des mesures que préconise l’avant-projet de loi.

- Le financement

L’informatisation généralisée des dossiers de santé représente un coût important.

L’avant-projet de loi ne précise pas de quelle manière les mesures qu’il préconise seront financées et quel budget y sera consacré. Il est évident toutefois que l’application pratique des dispositions de l’avant-projet dépendra en grande partie du financement octroyé.

Le Conseil national s’interroge sur la faisabilité financière de l’avant-projet de loi.

- La surcharge administrative

La mise en place du dossier de santé partagé, tel que prévu dans l’avant-projet, implique une surcharge de travail administratif pour le médecin.

Il est demandé au médecin de diviser le dossier santé partagé en sections : le « dossier santé résumé », le « dossier santé historique » et d’éventuelles sections spécifiques (article 12). Ce tri entraîne assurément un surcroît de travail administratif.

- L’accès au DMP

En principe, seuls les médecins amenés à soigner le patient auraient accès au dossier de santé partagé. Dans l’exposé des motifs de l’avant-projet de loi, on peut lire ceci :

« Après avoir été identifié et authentifié, à la fois comme personne et comme professionnel de la santé, le praticien doit recevoir une autorisation d’accès à une application loco-régionale et à un dossier individuel géré au niveau de cette application. Cette autorisation ne lui est octroyée que s’il exerce une relation effective de soignant vis-à-vis du patient. Si un patient change de médecin, le médecin qui le traitait perd son accès au dossier. Le secret médical est organisé par le médecin traitant du patient (généraliste ou, le cas échéant, spécialiste) qui décidera, comme c’est le cas actuellement, quels sont les professionnels de l’équipe qui auront accès à quelles données, et cela en fonction de leur participation aux soins à ce patient ».

A la lecture de cet extrait, il nous est permis de nous interroger quant à savoir si l’on entend soumettre l’accès au dossier de santé partagé à l’autorisation préalable du médecin traitant.

Ce serait à la fois critiquable du point de vue de la déontologie et du libre choix du médecin mais ce serait également irréaliste.

La manière dont les médecins auront accès au dossier de santé partagé est en tous les cas décrite de manière particulièrement nébuleuse dans l’avant-projet de loi. Des éclaircissements sont indispensables.

En outre, le Conseil national constate que l’authentification du statut de médecin est réalisée par la consultation de la banque de données fédérales des professionnels de la santé, visée par la loi du 29 janvier 2003 (art. 13, 2°). Le Conseil souligne qu’une telle authentification relève, en vertu de l’arrêté royal n° 79 du 10 novembre 1967, de la compétence des Conseils provinciaux de l’Ordre des médecins, chargés de la constitution du Tableau.

4/ Les organes télématiques.

A côté de la Commission « normes en matière de télématique au service du secteur des soins de santé » et de la commission de la vie privée, de nouveaux « organes» sont créés qui recevraient un certain nombre de compétences en matière de télématique :

  • un « comité sectoriel pour les données de santé », créé au sein de la commission de la protection de la vie privée.
  • une « plate-forme télématique Be-health ».

Le rôle spécifique de chacun de ces organes ainsi que leurs interrelations ne sont pas très claires. Des doutes subsistent en outre quant à leur indépendance par rapport aux autorités politiques et par rapport aux organismes de sécurité sociale.

5/ La télémédecine.

En ce qui concerne le volet de l’avant-projet de loi touchant spécifiquement à la télémédecine, le Conseil national rappelle deux considérations fondamentales, dont le respect ne semble pas garanti dans le projet de loi actuel :

1/ Dans le cadre de la communication électronique les télé-experts ne peuvent s’engager à faire des diagnostics ou à installer des traitements, sans avoir ni interrogé ni examiné personnellement le patient. Leur rôle est donc celui d’aide au diagnostic et à la décision. Le lieu où l’acte médical est posé reste celui où se trouve le médecin traitant demandeur. Il s’agit ici aussi d’un problème de responsabilité médicale.

2/ La prescription électronique établie par un professionnel de la santé habilité, sous la forme d’un fichier électronique doit respecter le libre choix du patient.

Le Conseil national invite à se référer à ses avis exprimés précédemment en matière de télémédecine et d’exercice de la médecine à distance.

CONCLUSION

Le Conseil national

1/ refuse la définition de donnée de santé telle que reprise dans le projet : il l’estime attentatoire au secret professionnel et à la législation relative à la protection de la vie privée. Le recours aux termes « données à caractère personnel relatives à la santé » apparaît plus judicieux.

2/ refuse toute forme de couplage logique entre le NISP, d’une part, et le NISS ou le NRN (numéro de registre national), d’autre part. Le NISP ne peut être généré que de façon aléatoire et en aucune façon issu de la transformation logique de données à caractère personnel, fut-elle réputée irréversible.

L’utilisation du NISP doit rester circonscrite strictement à l’administration des soins.

3/ constate que les modalités de mises en place et d’accès au « dossier médical partagé » sont imprécises et ne permettent pas, en l’état, de garantir la confidentialité. Le Conseil national estime que la communication des données de santé par voie électronique entre professionnels de la santé, par un réseau public ou par un réseau privé non local, ne peut en aucune circonstance fonctionner sans recours préalables à des méthodes sécurisées de cryptage et de signature certifiée.

4/ souligne le manque d’indépendance de la « plate-forme télématique Be-Health », vis-à-vis tant des autorités publiques (notamment compétentes en matière de sécurité sociale) que des organismes assureurs.

5/ estime que la télémédecine doit être au service du requérant qui est médecin traitant.

6/ refuse la centralisation, par une seule instance, des systèmes de sécurité et d’identification, du notariat des transactions, de la labellisation des logiciels et, en particulier, du transfert des données.

7/ n’est pas convaincu de la réelle plus-value thérapeutique du concept de « dossier de santé partagé », tel que repris dans le projet.

Pour ces motifs, le Conseil national souhaite une révision du projet de loi dans un sens plus respectueux des impératifs, légaux et déontologiques, nécessaires aux relations médecins-patients.

Demande d’explications de M. Jan STEVELYNCK au ministre des Affaires sociales et de la Santé Publique sur « le plan d’action relatif aux e-soins de santé », n°3-1060, 27 octobre 2005, Annales du Sénat n ° 3-131, p. 59.