Publié le

Utilisation de données entre deux établissements

Rappel de l'objet de la demande

Deux établissements sont en direction commune. Les deux équipes informatiques peuvent-elles avoir accès à l’ensemble des données des deux établissements ?

Textes de référence

Réponse

Pour répondre le plus précisément possible , il convient de définir dans un premier temps les conditions dans lesquelles un traitement de données à caractère personnel peut être réalisé. En effet, seuls les traitements de données à caractère personnel font l’objet d’une règlementation spécifique.

Si les données concernées en l’espèce ne répondent pas à cette définition, les équipes informatiques des deux établissements peuvent librement y accéder, moyennant la rédaction d’une convention de partage de données entre les deux établissements.

Toutefois, si ces données répondent à la définition légale des données à caractère personnel, il convient de vous assurer que cet accès est conforme aux dispositions de la loi informatique et liberté du 6 janvier 1978 révisée par la loi du 20 juin 2018.

À toutes fins utiles, il est rappelé qu’un traitement de données à caractères personnelles est défini par l’article 2 de la loi informatique et liberté comme « toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».

Ce même article définit également les données à caractère personnel comme suit : « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».

Il peut notamment s’agir de données concernant les membres du personnel des différents établissements (en direction conjointe ou non ou au sein du GHT). La personne concernée doit alors consentir à ce que ses données fassent l’objet d’un traitement.

Par ailleurs, on relève que certains traitements de données à caractère personnel concernés sont interdits en raison du caractère sensible de ces données (article 8 de la même loi) sauf lorsque certaines conditions sont réunies. C’est notamment le cas des données concernant la santé d’une personne.

Pour que le traitement de ces données soit licite, il convient notamment de recueillir le consentement exprès de la personne concernée ou, si la personne concernée est dans l’impossibilité de consentir à ce traitement, d’apporter la preuve que celui-ci est nécessaire à la sauvegarde de la vie de la personne concernée. Peuvent répondre à cette définition les données contenues dans le dossier médical d’un patient.

Pour être juridiquement valable, le consentement au traitement de données à caractère personnel doit être strictement circonstancié. C’est-à-dire que la personne consent à un traitement déterminé de ses données. Pour cela, elle doit être mise au courant de la finalité du traitement, de l’identité du responsable de traitement et de l’utilisation qui va être faite des données la concernant.

Ce retour préalable sur les éléments de définition et grands principes posés par le législateur est indispensable pour répondre à votre question. En effet, vous souhaitez savoir si les équipes informatiques de deux établissements de santé qui ont une direction commune peuvent librement accéder à l’ensemble des données générées par les deux établissements.

Si les données visées ne sont pas des données à caractère personnel, cela est possible. Il s’agira par exemple des données concernant la logistique de l’établissement (commandes de matériel par exemple) ou l’organisation d’activités administratives (hors données à caractère personnel). Malgré le fait que les données ne soient pas à caractère personnel, nous préconisons de recourir à la rédaction d’une convention de partage des données entre les deux établissements.

Si les données visées sont des données à caractère personnel, cela n’est possible qu’à la condition que les personnes concernées par les données ont été informées que leurs données sont traitées conjointement par les deux établissements et y ont consenti. Cette information peut par exemple être prévue au titre de l’information concernant le groupement hospitalier de territoire (G.H.T) auquel appartiennent les deux établissements, ou à travers un document conjoint du fait de la direction commune.

Si une telle information n’a pas été donnée aux personnes concernées …

Consultez la suite en posant votre question

Posez votre question

Posez votre question

Posez votre première question gratuitement et sans engagement !
Ce service est destiné exclusivement aux managers, responsables juridiques et directeurs du secteur sanitaire et médico-social.
  • Envoyer