·

Documentation clinique

Soins de santé

Gestionnaire de cabinet / Admin

Droits RGPD de correction ou de suppression des dossiers médicaux

Ce que le RGPD exige réellement lorsque les patients demandent des corrections ou suppressions de leurs dossiers médicaux, et quand les organisations de soins peuvent refuser

Les dossiers médicaux se situent à l'intersection d'obligations légales concurrentes. Le Règlement Général sur la Protection des Données (RGPD) accorde aux patients des droits significatifs sur leurs données personnelles, notamment le droit de faire corriger les informations inexactes et, dans certaines circonstances, de les faire supprimer. Mais la documentation médicale existe pour des raisons qui vont bien au-delà de la gestion des données : elle sous-tend la sécurité des patients, la responsabilité professionnelle et la défense juridique. Lorsqu'un patient soumet une demande de correction ou de suppression d'une entrée de son dossier médical, les règles applicables ne sont pas simples, et les conséquences d'une réponse erronée peuvent être graves. Cet article expose ce que la conformité au RGPD dans le secteur de la santé exige réellement dans ces situations, quelles exemptions s'appliquent et ce que les administrateurs cliniques doivent faire en pratique.

Les deux droits du RGPD qui déclenchent les demandes de correction et de suppression

Deux articles du RGPD sont directement pertinents lorsqu'un patient conteste le contenu de son dossier médical.

L'article 16 prévoit le droit à la rectification. Il permet à une personne concernée de demander au responsable du traitement de corriger des données personnelles inexactes et de compléter des données incomplètes, notamment au moyen d'une déclaration complémentaire. La rectification peut être effectuée en modifiant directement les données, par suppression partielle ou totale, ou en ajoutant des informations pour compléter un dossier incomplet.

L'article 17 prévoit le droit à l'effacement, parfois appelé « droit à l'oubli ». Il exige que les responsables du traitement suppriment les données personnelles sans retard injustifié dans des circonstances spécifiques, par exemple lorsque les données ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées, ou lorsque la personne concernée retire son consentement et qu'aucune autre base juridique ne s'applique.

Aucun de ces droits n'est absolu. Dans un contexte de santé, ces deux droits sont soumis à des limitations importantes et bien définies. Comme le déclare directement la Commission irlandaise de protection des données : ces droits « s'appliquent rarement aux données personnelles telles que les avis médicaux, les diagnostics et les comptes rendus de traitement clinique ». Comprendre pourquoi nécessite d'examiner les exemptions en détail.

Quand le droit à l'effacement du RGPD ne s'applique pas aux dossiers médicaux

L'article 17 inclut des exceptions explicites directement applicables au secteur de la santé. En vertu de l'article 17(3), le droit à l'effacement ne s'applique pas lorsque le traitement est nécessaire :

  • Pour respecter une obligation légale en vertu du droit de l'UE ou du droit d'un État membre

  • Pour des motifs d'intérêt public dans le domaine de la santé publique en vertu de l'article 9(2)(i)

  • À des fins d'archivage dans l'intérêt public, de recherche scientifique ou historique, ou à des fins statistiques

  • Pour la constatation, l'exercice ou la défense de droits en justice

En pratique, l'exception la plus couramment applicable dans les contextes cliniques est l'obligation légale de conserver les dossiers. Les organisations de soins dans les États membres de l'UE sont soumises à des périodes minimales de conservation prévues par la loi. En Angleterre, par exemple, le Code de pratique de gestion des dossiers de NHS England exige que les dossiers des patients adultes soient conservés pendant au moins huit ans après la dernière entrée. Les dossiers des médecins généralistes doivent être conservés pendant dix ans après le décès d'un patient, conformément aux directives actuelles du NHS, bien que les périodes de conservation puissent varier selon le type de dossier. Des obligations équivalentes existent dans tous les États membres de l'UE, bien que les périodes spécifiques varient selon la juridiction.

Lorsqu'une obligation légale de conservation s'applique, une demande d'effacement peut légalement être refusée. L'organisation n'est pas tenue de supprimer le dossier simplement parce que le patient l'a demandé. L'obligation consiste à répondre à la demande, à expliquer l'exemption applicable et à informer le patient de son droit de déposer une plainte auprès de l'autorité de contrôle compétente.

Le contexte réglementaire est également pertinent ici : les droits à l'effacement du RGPD font l'objet d'un contrôle réglementaire actif, avec des sanctions pour non-conformité pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial en vertu de l'article 83(5). Les refus injustifiés comme les suppressions injustifiées comportent un risque réel.

Ce que signifie réellement la « rectification » dans un contexte clinique

La rectification en vertu de l'article 16 s'applique aux données factuellement inexactes. Une date de naissance incorrecte d'un patient, un nom mal orthographié ou une adresse enregistrée par erreur sont des candidats évidents à la correction. Ce sont des erreurs objectives, et les corriger est à la fois obligatoire et simple.

La situation plus complexe survient lorsqu'un patient conteste un jugement clinique, tel qu'un diagnostic, une évaluation documentée ou l'opinion enregistrée d'un clinicien sur sa présentation ou son comportement. Ces entrées ne sont pas automatiquement « inexactes » au sens du RGPD simplement parce que le patient n'est pas d'accord avec elles.

Les directives de la BMA sur l'accès aux dossiers médicaux sont explicites sur ce point : « les patients peuvent demander la correction d'informations qu'ils estiment inexactes, mais le professionnel de santé n'est pas obligé d'accepter l'opinion du patient ; il doit s'assurer que les notes indiquent le point de vue du patient ». Le jugement professionnel documenté d'un clinicien reflète son évaluation au moment où elle a été faite. Ne pas être d'accord avec ce jugement ne rend pas le dossier factuellement erroné au sens du RGPD.

Lorsqu'un patient estime qu'un dossier est incomplet plutôt qu'inexact, la Commission irlandaise de protection des données confirme que le patient peut demander qu'une déclaration complémentaire soit ajoutée pour compléter le dossier. Il s'agit d'un droit significatif, mais il est distinct du droit de faire supprimer ou écraser l'entrée originale.

L'obligation de piste d'audit : ce qui doit être enregistré lorsqu'une entrée change

Lorsqu'une entrée de dossier médical est corrigée ou annotée, la piste d'audit n'est pas facultative. C'est une exigence de conformité fondamentale tant au titre du RGPD que des normes professionnelles de documentation.

Une piste d'audit adéquate pour une modification de dossier doit inclure :

  • L'entrée originale, qui doit rester visible et inaltérée

  • La date et l'heure de toute modification

  • L'identité de la personne effectuant la modification

  • La raison du changement, clairement documentée

Les directives de la BMA stipulent que « les modifications des dossiers peuvent être effectuées à condition qu'elles soient faites d'une manière qui indique pourquoi l'altération a été faite, afin qu'il soit clair que les dossiers n'ont pas été falsifiés ». Les directives confirment également que « les informations peuvent être retirées de l'affichage mais la piste d'audit conservera toujours le dossier complet ».

D'un point de vue technique, les pistes d'audit doivent être inviolables pour servir de preuve crédible lors d'enquêtes réglementaires ou de procédures judiciaires. Chaque entrée de journal doit capturer l'identité de l'utilisateur, l'horodatage et l'action effectuée. Écraser ou supprimer l'entrée originale, plutôt que de l'annoter, crée à la fois un risque de conformité au RGPD et un risque de responsabilité professionnelle. Si un dossier a été modifié sans piste d'audit visible, il peut être impossible de démontrer que le changement était légitime plutôt qu'une tentative de dissimulation d'informations.

Comment traiter une demande de rectification sans modifier l'entrée originale

L'approche clinique standard pour une demande de rectification valide consiste à ajouter un addendum daté ou une annotation à côté de l'entrée originale, plutôt que de la modifier ou de la supprimer. Cette méthode satisfait le principe d'exactitude du RGPD tout en préservant l'intégrité du dossier original.

Une annotation correctement construite doit inclure :

  • La date à laquelle l'annotation a été ajoutée

  • Le nom et le rôle de la personne qui l'ajoute

  • Une déclaration claire de ce qui est corrigé ou ajouté, et pourquoi

  • Le cas échéant, une note indiquant que la modification fait suite à une demande du patient en vertu de l'article 16 du RGPD

Lorsque le patient a contesté un jugement clinique plutôt qu'une erreur factuelle, l'annotation doit enregistrer le point de vue du patient sans impliquer que l'entrée clinique originale était erronée. Par exemple : « Le patient a demandé qu'il soit noté qu'il conteste l'évaluation ci-dessus. Son point de vue a été enregistré conformément à son droit d'ajouter une déclaration complémentaire en vertu de l'article 16 du RGPD. »

Cette approche signifie que le dossier reste complet, l'entrée originale est préservée à des fins cliniques et juridiques, et le droit du patient à ce que sa perspective soit documentée est respecté. Elle crée également une piste documentaire claire pour tout examen réglementaire ultérieur.

Le rôle du Délégué à la Protection des Données et du Gardien Caldicott

Toutes les demandes de rectification ou d'effacement n'ont pas besoin d'être escaladées, mais savoir quand impliquer des rôles spécialisés est important.

En vertu du RGPD, les organisations de soins traitant des données de catégories particulières, ce qui inclut toutes les données de santé, sont tenues de désigner un Délégué à la Protection des Données (DPD). Le DPD doit être impliqué dans toute situation où la réponse à une demande de personne concernée est juridiquement incertaine, où un refus est émis, ou où la demande implique une violation potentielle du principe d'exactitude qui pourrait affecter la sécurité du patient.

Dans les contextes du National Health Service (NHS) et de la santé au Royaume-Uni, le Gardien Caldicott joue un rôle connexe mais distinct : il est responsable de la protection de la confidentialité des informations des patients et du soutien au partage approprié des informations. Lorsqu'une demande de rectification ou de suppression soulève des questions sur la pertinence clinique de divulguer ou de modifier le contenu d'un dossier, le Gardien Caldicott doit être consulté en plus du DPD.

Pour les demandes de routine, comme la correction d'une erreur factuelle évidente telle qu'une mauvaise adresse, un gestionnaire de cabinet ou un administrateur clinique senior peut généralement traiter la réponse directement, à condition que la modification suive la procédure de piste d'audit correcte. Pour tout ce qui implique une entrée clinique contestée, un refus de suppression ou une demande qui touche à des diagnostics sensibles ou à des informations de protection, l'escalade vers le DPD est l'étape appropriée.

Répondre au patient : délais, format et que dire lorsque vous refusez

Le RGPD fixe un délai ferme pour répondre aux demandes des personnes concernées. La réponse doit être fournie dans un délai d'un mois à compter de la réception de la demande. Dans les cas complexes, cette période peut être prolongée de deux mois supplémentaires, mais seulement si la personne concernée est informée de la prolongation et des raisons de celle-ci dans le délai d'un mois initial. Sans une telle notification, le délai d'un mois reste ferme.

Le silence ou le retard constitue en soi un manquement à la conformité. Ne pas répondre dans les délais est traité comme un refus sans justification, et le patient peut se plaindre directement auprès de l'autorité de contrôle compétente.

Lors du refus d'une demande, qu'il s'agisse d'effacement ou de rectification, la réponse doit :

  • Être rédigée dans un langage clair et accessible (pas de jargon juridique)

  • Identifier clairement l'exemption spécifique ou la base juridique du refus

  • Informer le patient de son droit de déposer une plainte auprès de l'autorité de contrôle nationale (par exemple, l'Information Commissioner's Office (ICO) au Royaume-Uni, la Data Protection Commission (DPC) en Irlande ou la Commission Nationale de l'Informatique et des Libertés (CNIL) en France)

  • Informer le patient de son droit de demander un recours judiciaire

Avant d'agir sur toute demande, le responsable du traitement doit confirmer que le demandeur est bien la personne concernée elle-même, ou quelqu'un ayant autorité pour agir en son nom. Cette étape de vérification est particulièrement importante dans le secteur de la santé, où les dossiers contiennent des informations hautement sensibles.

Comment les obligations de correction et de suppression diffèrent selon les États membres de l'UE

Le RGPD établit la base de référence, mais il permet explicitement aux États membres d'introduire des conditions supplémentaires pour le traitement des données de santé. L'article 9(4) permet aux États membres de « maintenir ou d'introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé ».

Cela signifie que les administrateurs cliniques travaillant dans différentes juridictions de l'UE peuvent rencontrer des variations concernant :

  • Les périodes de conservation : Le droit national détermine les calendriers minimaux de conservation, et ceux-ci diffèrent considérablement. L'Allemagne, la France, l'Irlande et les Pays-Bas ont chacun leurs propres cadres statutaires régissant la durée pendant laquelle différentes catégories de dossiers médicaux doivent être conservées.

  • Les procédures de modification : Certains États membres ont des exigences procédurales spécifiques sur la manière dont les modifications des dossiers médicaux doivent être documentées ou notifiées au patient.

  • Les extensions des droits des patients : Certaines juridictions ont étendu les droits des patients au-delà de la base de référence du RGPD dans le contexte des dossiers médicaux.

Le cadre du RGPD décrit dans cet article s'applique dans toute l'UE, mais il ne se substitue pas aux conseils juridiques locaux. Les administrateurs cliniques opérant dans un État membre spécifique doivent vérifier les directives nationales applicables, généralement émises par l'autorité nationale de protection des données ou le ministère de la santé compétent, avant de répondre à des demandes qui peuvent engager le droit local.

Un cadre de décision pratique pour les administrateurs cliniques

Lorsqu'une demande de personne concernée concernant un dossier médical arrive, le parcours de décision suivant fournit un point de départ structuré. Il ne se substitue pas à un conseil juridique dans les cas complexes, mais il couvre la majorité des scénarios qu'un administrateur clinique rencontrera.

Étape 1 : Identifier le type de demande
Le patient demande-t-il la correction d'une erreur factuelle (article 16), le complément d'un dossier incomplet (article 16) ou la suppression du dossier (article 17) ? Les règles applicables diffèrent.

Étape 2 : Vérifier l'identité du demandeur
Confirmer que la demande provient de la personne concernée ou d'un représentant autorisé avant de prendre toute mesure ou de partager toute information.

Étape 3 : Vérifier les exemptions applicables
Pour les demandes d'effacement : une obligation légale de conservation s'applique-t-elle ? Les données sont-elles requises à des fins de santé publique, de réclamations juridiques ou d'archivage ? Si oui, la demande peut être refusée. Pour les demandes de rectification : les données contestées sont-elles factuellement inexactes, ou s'agit-il d'un jugement clinique avec lequel le patient n'est pas d'accord ? Si c'est le cas, l'entrée originale n'a pas besoin d'être modifiée, mais le point de vue du patient doit être enregistré comme déclaration complémentaire.

Étape 4 : Déterminer l'action appropriée

  • Erreur factuelle : corriger l'entrée en utilisant une modification avec piste d'audit

  • Dossier incomplet : ajouter une déclaration complémentaire datée

  • Jugement clinique contesté : ajouter une annotation enregistrant le point de vue du patient, sans modifier l'entrée originale

  • Demande d'effacement soumise à une exemption de conservation : préparer une réponse de refus citant la base juridique applicable

Étape 5 : Documenter la décision
Enregistrer quelle demande a été reçue, quelle décision a été prise, quelle exemption ou base juridique a été appliquée, et qui a été impliqué dans la prise de décision. Cette documentation fait elle-même partie de l'obligation de responsabilité de l'organisation au titre du RGPD.

Étape 6 : Répondre dans les délais
Envoyer une réponse écrite dans un délai d'un mois. Si la demande est refusée, inclure la base juridique spécifique, le droit du patient de se plaindre auprès de l'autorité de contrôle et son droit à un recours judiciaire. Utiliser un langage clair tout au long.

Étape 7 : Escalader en cas de contestation ou d'incertitude
Si le patient conteste le refus, si la demande implique des catégories sensibles d'informations telles que des dossiers de protection ou de santé mentale, ou s'il existe une véritable incertitude juridique sur l'exemption applicable, escalader vers le DPD. Dans les contextes du NHS, consulter le Gardien Caldicott lorsque la confidentialité du patient est en jeu.

Une limitation importante à reconnaître : le cadre ci-dessus reflète la base de référence du RGPD et les normes générales de documentation clinique. Il ne tient pas compte de toutes les variations nationales, et il n'aborde pas la complexité technique de la suppression dans les systèmes cliniques modernes, en particulier lorsque les dossiers sont répliqués sur des sauvegardes, des archives et des sous-traitants tiers. La mise en œuvre d'une suppression de données vérifiable sur des ensembles de données cliniques chiffrées reste techniquement difficile, et les obligations d'effacement s'étendent aux sauvegardes et aux copies archivées détenues par les sous-traitants. Lorsqu'une suppression est légalement requise, les équipes de technologie de l'information et de gouvernance de l'information devront être impliquées pour s'assurer qu'elle est effectuée complètement.

Questions fréquemment posées

▶ Les patients ont-ils le droit de supprimer leurs dossiers médicaux en vertu du RGPD ?

Pas dans la plupart des circonstances. L'article 17 du Règlement Général sur la Protection des Données accorde un droit à l'effacement, mais ce droit ne s'applique pas lorsqu'il existe une obligation légale de conserver les dossiers. Les organisations de soins dans les États membres de l'UE sont soumises à des périodes minimales de conservation prévues par la loi. En Angleterre, par exemple, NHS England exige que les dossiers des patients adultes soient conservés pendant au moins huit ans après la dernière entrée. Lorsqu'une telle obligation s'applique, une demande d'effacement peut légalement être refusée, à condition que l'organisation réponde par écrit, explique l'exemption et informe le patient de son droit de se plaindre auprès de l'autorité de contrôle compétente.

▶ Un patient peut-il demander la correction d'un diagnostic clinique avec lequel il n'est pas d'accord ?

Un patient peut demander une correction, mais un clinicien n'est pas obligé de modifier un jugement professionnel documenté simplement parce que le patient le conteste. Le droit à la rectification en vertu de l'article 16 s'applique aux données factuellement inexactes, comme une date de naissance erronée ou un nom mal orthographié. Un diagnostic ou une évaluation clinique reflète l'opinion professionnelle du clinicien au moment où elle a été enregistrée. Ne pas être d'accord avec cette opinion ne rend pas l'entrée inexacte au sens du RGPD. Lorsqu'un patient conteste un jugement clinique, la réponse appropriée consiste à ajouter une déclaration complémentaire enregistrant le point de vue du patient, sans modifier l'entrée originale.

▶ Que doit inclure une piste d'audit lorsqu'un dossier médical est modifié ?

Lorsqu'une entrée de dossier médical est corrigée ou annotée, la piste d'audit doit inclure quatre éléments : l'entrée originale, qui doit rester visible et inaltérée, la date et l'heure de la modification, l'identité de la personne effectuant la modification, et la raison du changement. Écraser ou supprimer l'entrée originale, plutôt que de l'annoter, crée à la fois un risque de conformité au RGPD et un risque de responsabilité professionnelle. Si un dossier a été modifié sans piste d'audit visible, il peut être impossible de démontrer que le changement était légitime.

▶ Comment un administrateur clinique doit-il traiter une demande de rectification sans modifier l'entrée originale ?

L'approche standard consiste à ajouter un addendum daté ou une annotation à côté de l'entrée originale. Une annotation correctement construite doit inclure la date à laquelle elle a été ajoutée, le nom et le rôle de la personne qui l'ajoute, une déclaration claire de ce qui est corrigé ou ajouté et pourquoi, et, le cas échéant, une note indiquant que la modification fait suite à une demande du patient en vertu de l'article 16 du RGPD. Lorsqu'un patient a contesté un jugement clinique plutôt qu'une erreur factuelle, l'annotation doit enregistrer le point de vue du patient sans impliquer que l'entrée originale était erronée.

▶ Quel est le délai pour répondre à une demande de correction ou de suppression d'un patient ?

Le RGPD exige une réponse dans un délai d'un mois à compter de la réception de la demande. Dans les cas complexes, cette période peut être prolongée de deux mois supplémentaires, mais seulement si le patient est informé de la prolongation et des raisons de celle-ci dans le délai d'un mois initial. Le silence ou le retard constitue en soi un manquement à la conformité. Ne pas répondre dans les délais est traité comme un refus sans justification, et le patient peut se plaindre directement auprès de l'autorité de contrôle compétente.

▶ Que doit inclure une lettre de refus lors du rejet d'une demande d'effacement ou de rectification d'un patient ?

Une réponse de refus doit être rédigée dans un langage clair et accessible. Elle doit identifier clairement l'exemption spécifique ou la base juridique du refus, informer le patient de son droit de déposer une plainte auprès de l'autorité de contrôle nationale (comme l'Information Commissioner's Office au Royaume-Uni, la Data Protection Commission en Irlande ou la Commission Nationale de l'Informatique et des Libertés en France), et informer le patient de son droit de demander un recours judiciaire. Le jargon juridique ne suffit pas. Le patient doit être en mesure de comprendre pourquoi la demande a été refusée et ce qu'il peut faire ensuite.

▶ Quand un Délégué à la Protection des Données doit-il être impliqué dans le traitement d'une demande de dossier médical ?

Les organisations de soins traitant des données de santé sont tenues en vertu du RGPD de désigner un Délégué à la Protection des Données. Le Délégué à la Protection des Données doit être impliqué lorsque la réponse à une demande est juridiquement incertaine, lorsqu'un refus est émis, ou lorsque la demande implique une violation potentielle du principe d'exactitude qui pourrait affecter la sécurité du patient. Les demandes de routine, comme la correction d'une erreur factuelle évidente telle qu'une mauvaise adresse, peuvent généralement être traitées par un gestionnaire de cabinet ou un administrateur clinique senior, à condition que la modification suive la procédure de piste d'audit correcte. Tout ce qui implique une entrée clinique contestée, un refus de suppression ou des informations sensibles telles que des dossiers de protection ou de santé mentale doit être escaladé vers le Délégué à la Protection des Données.

▶ Les règles de correction et de suppression du RGPD diffèrent-elles selon les États membres de l'UE ?

Le RGPD établit la base de référence, mais il permet explicitement aux États membres d'introduire des conditions supplémentaires pour le traitement des données de santé en vertu de l'article 9(4). Cela signifie que les administrateurs cliniques travaillant dans différentes juridictions de l'UE peuvent rencontrer des variations dans les périodes de conservation statutaires, les procédures de modification et les droits des patients qui vont au-delà de la base de référence du RGPD. L'Allemagne, la France, l'Irlande et les Pays-Bas ont chacun leurs propres cadres statutaires régissant la durée pendant laquelle différentes catégories de dossiers médicaux doivent être conservées. Les administrateurs cliniques opérant dans un État membre spécifique doivent vérifier les directives nationales applicables, généralement émises par l'autorité nationale de protection des données ou le ministère de la santé compétent, avant de répondre à des demandes qui peuvent engager le droit local.

▶ Le droit à l'effacement du RGPD s'étend-il aux sauvegardes et aux copies archivées des dossiers médicaux ?

Oui. Lorsqu'une suppression est légalement requise, l'obligation s'étend aux sauvegardes et aux copies archivées détenues par les sous-traitants, pas seulement au dossier principal. La mise en œuvre d'une suppression de données vérifiable sur des ensembles de données cliniques chiffrées est techniquement difficile, en particulier lorsque les dossiers sont répliqués sur des sauvegardes, des archives et des sous-traitants tiers. Lorsqu'une suppression est légalement requise, les équipes de technologie de l'information et de gouvernance de l'information devront être impliquées pour s'assurer qu'elle est effectuée complètement.

▶ Quelle est la différence entre le droit à la rectification et le droit d'ajouter une déclaration complémentaire ?

Le droit à la rectification en vertu de l'article 16 du RGPD couvre la correction de données factuellement inexactes et le complément de données incomplètes. Lorsqu'un patient estime qu'un dossier est incomplet plutôt qu'inexact, il peut demander qu'une déclaration complémentaire soit ajoutée pour compléter le dossier. Il s'agit d'un droit significatif, mais il est distinct du droit de faire supprimer ou écraser l'entrée originale. La Commission irlandaise de protection des données confirme directement cette distinction : la déclaration complémentaire se situe à côté de l'entrée originale plutôt que de la remplacer.

Commencez avec Tandem dès aujourd’hui

Rejoignez les milliers de soignants pour qui nous automatisons les tâches administratives

Commencez avec Tandem dès aujourd’hui

Rejoignez les milliers de soignants pour qui nous automatisons les tâches administratives

Commencez avec Tandem dès aujourd’hui

Rejoignez les milliers de soignants pour qui nous automatisons les tâches administratives