La fuite de données confidentielles …

N° 241 - Octobre 2019
FacebookTwitterLinkedInEmail

Même involontaire et non identifiée, la rupture du secret concernant des données de santé peut être imputée à l’établissement de soin.

Chacun connaît l’importance du secret professionnel, qui impose notamment à tout professionnel des établissements de santé de protéger les données personnelles des patients contre toute indiscrétion ou diffusion, même non intentionnelle, d’informations relatives à l’état ou à la situation de la personne prise en charge. Cet impératif législatif répond à une double exigence.
La première, d’ordre public, justifie que la violation du secret fasse l’objet d’une sanction pénale destinée à sanctionner un comportement fautif. L’article 226-13 du Code pénal stipule que « la révélation d’une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d’une fonction ou d’une mission temporaire, est punie d’un an d’emprisonnement et de 15000 euros d’amende ». Ce cadre répressif vise à responsabiliser les personnes destinataires d’informations confidentielles. Par cette disposition, le législateur veut assurer la confiance nécessaire à l’exercice de certaines professions. Ainsi, chacun doit pouvoir confier des secrets, sans risque de les voir divulguer, à un avocat, un médecin ou un prêtre, pour obtenir sa défense, ses soins ou son pardon… En médecine, s’y ajoute une dimension de santé publique. Pour le Parlement, la protection du secret, et par conséquent des données personnelles, est un élément qui permet d’augmenter l’effectivité d’une politique publique en facilitant une couverture sanitaire suffisante reposant sur une démarche volontaire des patients. En offrant cette garantie aux usagers des établissements de santé, la loi insiste sur le caractère singulier de la relation de soin. Par sa dimension répressive, le droit pénal vise donc bien à protéger l’ordre public.
– La deuxième exigence est celle du respect des droits de la personne prise en charge, qui suppose la possibilité de prétendre à une indemnisation en cas de préjudice résultant d’une diffusion illégale d’informations confidentielles. L’article 9 du Code civil garantit à chacun le « droit au respect de sa vie privée ». Dans cette perspective, l’article L. 1110-4 du Code de la santé publique précise que « toute personne prise en charge par un professionnel de santé, un établissement ou service, un professionnel ou organisme concourant à la prévention ou aux soins dont les conditions d’exercice ou les activités sont régies par le présent code, le service de santé des armées, un professionnel du secteur médico-social ou social ou un établissement ou service social et médico-social (…) a droit au respect de sa vie privée et du secret des informations la concernant. » En dehors des cas expressément prévus la loi, il n’est donc pas possible pour le détenteur d’un secret de partager ou de laisser fuiter une information confidentielle. Ainsi conçue, l’obligation de secret n’est plus tant une exigence professionnelle qu’une protection des droits essentiels de la personne, inscrite dans le cadre plus général de la Convention européenne des droits de l’homme qui garantit au citoyen européen le respect de sa vie privée et familiale. LES

Conséquences en termes de responsabilité

Pour les juridictions administratives, il en résulte que toute divulgation de données secrètes engage la responsabilité pour faute de l’établissement de santé et ce, quelle que soit l’origine de la fuite d’informations. La protection du secret constitue, pour le juge, une obligation qui relève, ou presque, de l’obligation de résultat.
La faute est généralement assimilée à un défaut d’organisation du service public (lequel doit répondre de son incapacité à protéger les informations confidentielles). Ainsi, le fait, pour une infirmière, de ne pas avoir su protéger la fiche médicale d’un patient de la curiosité, certes déplacée, d’un membre de sa famille relève d’une faute de service, « la possibilité ainsi laissée par l’établissement hospitalier, aux personnes étrangères au service, d’accéder aisément à des documents médicaux couverts par le secret médical [étant] constitutive (…) d’un défaut d’organisation du service engageant la responsabilité [de l’établissement] » (1). Pour le juge administratif, il ne s’agit donc pas d’identifier précisément si un agent particulier a commis une faute mais de tirer les conséquences du non-respect d’une obligation à la charge de l’institution. L’indemnisation versée à la victime est alors le moyen juridique de composer l’atteinte à un droit subjectif.
Cette jurisprudence s’applique même si les circonstances de la divulgation du secret demeurent inconnues ou sont incertaines. Dans un tel cas, le Conseil d’État reconnaît en effet une présomption de faute, qui est uniquement constituée par le manquement à l’obligation de confidentialité. Il n’existe pas, à notre connaissance, de jugement concernant spécifiquement les établissements psychiatriques. Néanmoins, la jurisprudence développée dans d’autres disciplines soumises au secret professionnel leur est parfaitement transposable. De même que le Conseil d’État a retenu la faute présumée du service d’aide sociale à l’enfance lorsque la mère d’un enfant né sous X obtient, sans que l’on sache comment, des informations sur le nouvel état civil de son enfant (2), il est probable, voire certain, qu’il présumerait de la faute de l’établissement de santé mentale qui laisserait transpirer une information secrète et romprait ainsi le secret professionnel.

Éric Péchillon, Professeur de droit public, Stéphanie Renard, Maître de conférences HDR; Université de Bretagne Sud.

1– CAA Nantes, 15 oct. 2009, Gadouche, n° 09NT00165, JCP A n° 23 du 7 juin 2010, n° 2186, note S. Renard.
2– CE, 17 octobre 2012, Mlle Bussa et époux Bussa