Au sein d’un établissement public de santé, certains professionnels de santé peuvent exercer leur activité sous un statut libéral. Ces praticiens sont soit des agents titulaires de l’établissement, soit des médecins, sage-femmes ou odontologistes libéraux exerçant au sein de l’établissement. Cette situation est encadrée par le Code de la santé publique.
Toutefois, l’exercice libéral de la médecine au sein d’un établissement public de santé soulève de fortes interrogations concernant la protection des données à caractère personnel.
Les praticiens libéraux sont évidemment soumis à un devoir de confidentialité et tenus au secret professionnel. Néanmoins, ils accèdent, dans le cadre de leurs activités, au système d’information de l’établissement de santé ainsi qu’à un certain nombre d’outils numériques, comme le dossier patient informatisé (DPI) ou une boite mail institutionnelle.
La répartition des rôles et surtout des responsabilités concernant le traitement des données entre l’établissement de santé public et le praticien libéral exerçant en son sein n’est pas anodine compte tenu du potentiel développement de la pratique libérale dans le secteur public, et des enjeux de sécurité associés au traitement des données de santé.
Le règlement ne prévoit que trois rôles : responsable du traitement, sous-traitant et responsable conjoint du traitement. À noter que les qualifications du RGPD sont indépendantes du droit national et que le seul statut de praticien libéral n’est pas suffisant pour qualifier son rôle.
Selon le texte, le responsable du traitement définit les finalités et les modalités essentielles du traitement et le sous-traitant ne fait que le mettre en œuvre pour son compte. Assurément, l’établissement de santé est responsable du traitement. C’est lui qui détermine les finalités des traitements appliqués aux données collectées auprès des patients (soins, recherche, gestion de la qualité, identitovigilance…). Il décide également des modalités des traitements réalisés. Il choisit et paramètre les outils informatiques, définit la durée de conservation des données personnelles et assure la sécurité physique des lieux.
Première interprétation, le praticien exerçant en libéral est assimilé à l’établissement de santé. Dans ses lignes directrices 07/2020 concernant les notions de responsable du traitement et de sous-traitant dans le RGPD, l’EDPB énonce deux conditions pour qualifier un opérateur de sous-traitant : « a) être une entité distincte du responsable du traitement et b) traiter des données à caractère personnel pour le compte du responsable du traitement ».
Les praticiens libéraux à l’hôpital n’engagent pas la responsabilité de l’hôpital pour leur mauvais diagnostic ou leur faute professionnelle. Leur statut les sépare juridiquement de l’organisation de l’établissement public. Leurs tarifs sont par exemple différents et le patient doit être informé qu’il est pris en charge par un praticien libéral. Ce sont donc bien des « entités distinctes » selon ces critères. D’un autre côté, leur activité se fond avec celle de l’hôpital et s’inscrit dans un parcours de soin coordonné entre les professionnels de l’établissement. Or, selon les mêmes lignes directrices, « les employés et les autres personnes qui agissent sous l’autorité directe du responsable du traitement, […], ne sont pas considérés comme des sous-traitants puisqu’ils traitent des données à caractère personnel dans le cadre de l’entité du responsable du traitement ».
De plus, un même praticien peut parfois intervenir dans le parcours de soin, à la fois en tant que libéral et en tant qu’agent de l’établissement. L’appréciation du critère d’indépendance des entités n’est donc pas évidente. Cette solution a l’avantage de ne pas requérir de formalités supplémentaires. Toutefois, la responsabilité de l’établissement pourrait être engagée pour les manquements dus à la pratique du médecin libéral.
Deuxième possibilité, le praticien libéral pourrait être un sous-traitant du responsable du traitement. Nous l’avons dit, c’est l’hôpital qui délimite l’activité et les missions du praticien libéral et définit les finalités et les modalités du traitement. Le praticien ne ferait que mettre en œuvre les traitements de données pour le compte de l’établissement sans avoir d’autorité pour mettre un terme aux traitements, supprimer les données des patients ou mettre en œuvre des traitements dépassant le cadre de ses missions.
Si cette qualification était retenue, l’établissement de santé devrait intégrer un ensemble de clauses conformes à l’article 28 du RGPD aux contrats encadrant l’exercice libéral de la médecine dans ses services. Le patient quant à lui devrait être prévenu du rôle du sous-traitant dans le traitement de ses données de santé.
La sécurité des données continuerait d’être gérée par le responsable du traitement et les professionnels concernés continueraient d’être le point de relai privilégié pour, avec le délégué à la protection des données de l’établissement, assurer l’exercice des droits des personnes concernées.
Enfin, le praticien libéral pourrait être regardé comme un responsable conjoint du traitement. Cette troisième option serait la plus avantageuse pour l’hôpital, puisqu’elle lui permettrait de se retourner contre le praticien qui manquerait aux obligations du RGPD. Toutefois, cette qualification impliquerait que le médecin libéral ait une « influence décisive » sur le traitement dont il devrait déterminer conjointement les finalités et les moyens essentiels avec l’établissement, ce qui ne semble pas être le cas actuellement.
Les deux premières possibilités semblent donc être les plus adéquates au regard des lignes directrices de l’EDPB. Une approche pragmatique devrait être privilégiée, la CNIL n’étant pas contrainte par la qualification choisie par les parties.
Sources
Articles L.6146-2 et suivants et R.6154 du code de la santé publique.
