Le secret médical en crise

Après de tumultueux débats dans les médias, les dispositions légales relatives au « traçage » des patients infectés par le Covid-19 ou susceptibles de l’être ont été adoptées avec le plan de déconfinement. La loi n° 2020-546 du 11 mai 2020 « prorogeant l’état d’urgence sanitaire et complétant ses dispositions » contient en effet deux ensembles de dispositions destinées à assurer le repérage des patients potentiellement infectés et leur isolement plus ou moins strict, afin de « rompre les chaînes de contamination ».

Le législateur est-il parvenu à concilier ces mesures avec le secret médical ?

Tout d’abord, selon l’article 5 de la loi, complétant l’article L. 3131-17 du code de la santé publique, le placement et le maintien en isolement sont désormais prononcés par le représentant de l'Etat dans le département au vu d'un certificat médical constatant l’infection de la personne concernée. Ces mesures visent uniquement les personnes qui, ayant séjourné au cours du mois précédent dans une zone de circulation de l'infection, entrent sur le territoire national, arrivent en Corse ou dans l'une des collectivités territoriales de la France d’outre-mer. En exigeant l’accès du préfet à une information médicalement constatée - l’état d’infection d’une personne –, le législateur a instauré une dérogation légale au secret médical. Celle-ci a été directement inspirée par le Conseil d’Etat, dans son avis du 1^er mai 2020 sur le projet de loi : « Le Conseil d’Etat propose d’ajouter dans le projet que la décision de placement à l’isolement prononcée par le représentant de l’État dans le département l’est au vu d’un certificat médical qui lui est transmis. Il considère, à l’instar de ce qui est prévu par exemple en matière d’admission en soins psychiatriques sur décision du représentant de l'Etat (article L. 3213-1), que la transmission de ce certificat médical est nécessaire pour permettre au préfet d’exercer sa compétence dans le respect des libertés auxquelles la mesure de placement et de maintien en isolement est par elle-même susceptible de porter atteinte, dès lors qu’elle est subordonnée à la constatation médicale de l’infection de la personne concernée ».

Comme les dispositions suivantes, cette dérogation devrait cependant être temporaire puisque circonscrite à l’état d’urgence sanitaire.

Le décret n° 2020-610 du 22 mai 2020 pris pour l'application de ce texte précise que le certificat médical est transmis au Préfet par le Directeur général de l’agence régionale de santé lorsque ce dernier propose un placement en isolement. Cependant, il n’indique pas qui peut être l’auteur du certificat ni dans quelles conditions ce document est établi. En tout état de cause, il n’est prévu aucune obligation pour le médecin traitant de l’intéressé d’alerter l’ARS ou le Préfet lorsque la situation d’un patient répond aux critères du placement en isolement.

Ensuite, le chapitre II est spécifiquement consacré à la « création d'un système d'information aux seules fins de lutter contre l'épidémie de covid-19 ». Il annonce d’emblée de nouvelles dérogations au secret médical puisqu’il débute par la formule suivante : « Par dérogation à l'article L. 1110-4 du code de la santé publique […] ». Il indique toutefois que ces dérogations ont pour « seules fins de lutter contre la propagation de l'épidémie de covid-19 » et ont une durée limitée : celle strictement nécessaire à cet objectif ou, au plus, une durée de six mois à compter de la fin de l'état d'urgence sanitaire.

Il n’en demeure pas moins que, comme l’a souligné la CNIL dans sa délibération du 8 mai 2020 sur le projet de décret d’application, « l'aménagement d'une nouvelle dérogation au principe du secret médical entraîne le partage de données d'une très grande sensibilité susceptibles de concerner l'ensemble de la population, caractérisant ainsi une situation inédite ».

La principale de ces dérogations réside dans la collecte, le traitement et le partage des données à caractère personnel concernant la santé relatives aux personnes atteintes par le Covid-19 et aux personnes ayant été en contact avec elles, dans le cadre d'un système d'information créé par décret en Conseil d'Etat et mis en œuvre par le ministre chargé de la santé, ou de systèmes d’information existants que le ministre de la santé, l’Agence nationale de santé publique, un organisme d’assurance maladie et les agences régionale de santé seraient autorisés, par décret en Conseil d’Etat, à adapter.

Ces données sont traitées et partagées « le cas échéant sans le consentement des personnes intéressées ».

Celles concernant la santé sont strictement limitées au statut virologique ou sérologique de la personne à l'égard du virus ainsi qu'à des éléments probants de diagnostic clinique et d'imagerie médicale. Selon le décret d’application n° 2020-551 du 12 mai 2020, ce sont, aussi bien pour le « patient zéro » que pour les « cas contacts » :

– les données permettant de déterminer que la personne est infectée, c’est-à-dire le caractère positif du test, la date de prélèvement ou, pour les patients hospitalisés, l'existence de symptômes associés à un scanner ;

– le cas échéant, l'existence de symptômes et la date de leur apparition.

Comme l’a relevé la CNIL dans sa délibération du 8 mai 2020, « ces données, en particulier parce qu'elles seront rendues accessibles à un nombre important de personnes ne relevant pas de l'équipe de soins au sens de l'article L. 1110-4 du code de la santé publique, doivent faire l'objet d'une protection particulière ». Aucune autre donnée de santé ne pourra dès lors être collectée dans le cadre des systèmes d’information mis en place par la loi du 11 mai 2020, notamment depuis les autres bases de données mises en œuvre par l'assurance maladie.

Sont également collectées des données d’une très grande sensibilité ayant trait à la vie privée des personnes :

– la mention de la profession et du lieu d'exercice professionnel ;

– le cas échéant, les régions ou Etats, autres que ceux de résidence, dans lesquels la personne s'est rendue dans les quatorze derniers jours ;

– le cas échéant, la fréquentation, dans les quatorze derniers jours, des catégories d'établissements suivantes : établissement d'hébergement pour personnes âgées dépendantes, établissement médico-social, milieu scolaire, crèches, établissement de santé, établissement pénitentiaire ainsi que les coordonnées de l'établissement ;

– le cas échéant, la participation, dans les quatorze derniers jours, à un rassemblement de plus de dix personnes (localisation et date).

Cette collecte concerne tant les « patients zéro » que les « cas contacts ».

Là encore, la CNIL appelle à une minimisation de ces données au strict nécessaire au regard des finalités du traitement et a d’ores et déjà prévenu qu’elle serait vigilante.

Le consentement de la personne à la collecte des données la concernant n’est pas requis. Cependant,  comme l’a souligné le Conseil constitutionnel dans sa décision n° 2020-800 DC du 11 mai 2020, « si les dispositions contestées de l’article 11 exemptent la collecte, le traitement et le partage des données de santé de l’obligation d’obtenir le consentement des intéressés, elles n’exemptent pas ces mêmes opérations du respect des dispositions du règlement du 27 avril 2016 [RGPD] et de la loi du 6 janvier 1978 [Loi « Informatique et Libertés »] relatives aux principes régissant les traitements des données à caractère personnel et aux droits reconnus aux personnes dont les données sont collectées, notamment leurs droits d’accès, d’information et de rectification ». Toute personne doit donc être informée de la collecte des données la concernant et bénéficie d’un droit d’accès et de rectification. S’agissant du droit d’opposition, il est limité eu égard aux objectifs de santé publique poursuivis : selon le décret d’application, les « cas contacts » peuvent s’opposer au traitement des données les concernant recueillies auprès du patient zéro mais uniquement « pour des raisons tenant à leur situation particulière » et sauf si prévalent « les intérêts impérieux de santé publique définis au I de l’article 11 de la loi du 11 mai 2020 », c’est-à-dire en définitive la lutte contre la propagation de l’épidémie de Covid-19. En d’autres termes, le droit d’opposition des cas contacts est singulièrement limité. Celui des patients zéro l’est encore plus puisqu’il est limité à la transmission des données au groupement d'intérêt public dénommé « Plateforme des données de santé » (C. santé publ., art. L. 1462-1) et à la Caisse nationale d’assurance maladie.

Les finalités des systèmes d’information ainsi instaurés sont expressément mentionnées. Elles sont au nombre de 4 :

S’agissant de cette dernière finalité, le texte précise cependant que doivent être supprimés  les nom et prénoms des personnes, leur numéro d'inscription au répertoire national d'identification des personnes physiques et leur adresse. Le Conseil constitutionnel, dans sa décision précitée, ajoute que « sauf à méconnaître le droit au respect de la vie privée, cette exigence de suppression doit également s’étendre aux coordonnées de contact téléphonique ou électronique des intéressés ».

Afin de lever certaines inquiétudes, le législateur a pris le soin d'indiquer que « sont exclus de ces finalités le développement ou le déploiement d'une application informatique à destination du public et disponible sur équipement mobile permettant d'informer les personnes du fait qu'elles ont été à proximité de personnes diagnostiquées positives au covid-19 ». En d’autres termes, le projet « StopCovid » ne saurait être mis en œuvre sur le fondement de la présente loi.

Les données ainsi collectées ne peuvent être conservées plus de trois mois et les données d’identification des personnes infectées ne peuvent être communiquées, sauf accord exprès, aux personnes ayant été en contact avec elles.

Les enquêteurs sanitaires, chargés de repérer et d’informer les personnes susceptibles d’être infectées car ayant été en contact avec une personne porteuse du virus (« personnes contact »), ne devraient donc pas révéler l’identité de cette dernière, sauf avec son accord exprès. Cette interdiction semble toutefois avoir été mal comprise par l’assurance maladie, qui affiche sur le site internet Ameli.fr, afin de lutter contre les tentatives d’hameçonnage (fraude) : « Voici les bons réflexes pour reconnaître les contacts en provenance de l’Assurance Maladie : au téléphone, les conseillers de l’Assurance Maladie sont en capacité de donner le nom du médecin ou du patient malade du Covid-19 avec qui la personne qu’ils appellent a été en contact (si le malade a donné son accord explicite) à l’origine de la démarche […] ». Le principe et l’exception semblent ainsi inversés. Ce principe vise pourtant à éviter de stigmatiser les personnes malades, les mesures prophylactiques ne nécessitent presque jamais que soit révélée l’identité du malade.

Comme l’a souligné le Conseil constitutionnel, le champ des personnes susceptibles d’avoir accès aux données contenues dans ces systèmes d’information, sans le consentement de l’intéressé, est particulièrement étendu. Ce sont, selon le III de l’article 11, le ministre chargé de la santé, l'Agence nationale de santé publique, un organisme d'assurance maladie, les agences régionales de santé, le service de santé des armées, les communautés professionnelles territoriales de santé, les établissements de santé, sociaux et médico-sociaux, les équipes de soins primaires, les maisons de santé, les centres de santé, les services de santé au travail et les médecins prenant en charge les personnes concernées, les pharmaciens, les dispositifs d'appui à la coordination des parcours de santé complexes ainsi que les laboratoires et services autorisés à réaliser les examens de biologie ou d'imagerie médicale pertinents sur les personnes concernées.

Parmi ces autorités et organismes, plusieurs n’ont pas nécessairement la personnalité morale et peuvent potentiellement comprendre un nombre important de personnes. Il en est ainsi, par exemple, des communautés professionnelles territoriales de santé et des équipes de soins primaires.

La loi renvoie à un décret en Conseil d’Etat le soin de préciser notamment, pour chaque autorité ou organisme, les services ou personnels dont les interventions sont nécessaires aux quatre finalités précitées, les catégories de données auxquelles ils ont accès, la durée de cet accès, les règles de conservation des données ainsi que les organismes auxquels ils peuvent faire appel, pour leur compte et sous leur responsabilité, pour en assurer le traitement, dans la mesure où les finalités susvisées le justifient, et les modalités encadrant le recours à la sous-traitance.

À ce stade, il est toutefois précisé que ces autorités ou organismes ne pourront accéder qu’aux seules données nécessaires à leur intervention, dans la stricte mesure où leur intervention sert les finalités définies. Les personnes ayant accès à ces données sont expressément soumises au secret professionnel et il est rappelé qu’en cas de révélation d'une information issue des données collectées dans ce système d'information, elles encourent les peines prévues à l'article 226-13 du code pénal.

Le Conseil constitutionnel a considéré, dans sa décision du 11 mai 2020, que cette liste impressionnante de personnes habilitées à partager les données était justifiée par « la masse des démarches à entreprendre pour organiser la collecte des informations nécessaires à la lutte contre le développement de l’épidémie ». En revanche, il a censuré comme méconnaissant le droit au respect de la vie privée les dispositions incluant dans le partage des données les organismes qui assurent l’accompagnement social des intéressés : « s’agissant d’un accompagnement social, qui ne relève donc pas directement de la lutte contre l’épidémie, rien ne justifie que la communication des données à caractère personnel traitées dans le système d’information ne soit pas subordonnée au recueil du consentement des intéressés ».

Force est de constater que le décret d’application du 12 mai 2020 est peu limitatif, sur ce point, par rapport à la loi. La liste des personnes autorisées à accéder aux données demeure très dense. Précision est certes faite des finalités pour lesquelles chacune de ces catégories de personnes peut y accéder et du type de données concernées mais les possibilités légales d’accès demeurent extrêmement vastes. La CNIL, dans sa délibération susvisée, a par conséquent jugé « incontournable » la traçabilité des actions et leur imputabilité, entre autres mesures de protection parmi lesquelles des accès différenciés devant se traduire par des limitations d’accès. La traçabilité est effectivement prévue par les articles 5 et 11 du décret d’application.

Outre ces systèmes d’information destinés à repérer les personnes porteuses du virus, la loi du 11 mai 2020 fait du Covid-19 une maladie à déclaration obligatoire au sens de l’article L. 3113-1 du code de la santé publique. Il s’agit ici de pouvoir assurer la veille épidémiologique et déclencher les mesures urgentes nécessaires. Les médecins et les responsables des services et laboratoires de biologie médicale publics et privés sont donc tenus d’en faire la déclaration, avec cette particularité qu’elle doit être réalisée par les systèmes d’information mis en place par la loi.

Le caractère obligatoire de cette déclaration ne doit pas prêter à confusion : les médecins sont uniquement tenus d’effectuer la déclaration prévue par l’article L. 3113-1 du code de la santé publique. En revanche et comme l’a observé la CNIL, ils ne sont pas tenus d’inscrire leurs patients dans l’un des systèmes d’information instaurés par la loi du 11 mai. Autrement dit, ils ne sont pas tenus de révéler l’identité des personnes atteintes du Covid 19 ni de recueillir auprès d’elles les informations sur les éventuels « cas contacts ». La CNIL a pris le soin de relever qu’ « en tout état de cause, le refus des médecins, des patients ou des personnes "contacts" de participer aux enquêtes sanitaires ne saurait entraîner de conséquences de quelque ordre que ce soit (administrative, financière, prise en charge, etc.) ».

Une contrepartie financière est prévue pour les professionnels de santé, le directeur de l’Union nationale des caisses d’assurance maladie étant autorisé à fixer les modalités de la rémunération des professionnels de santé conventionnés participant à la collecte des données nécessaires au fonctionnement des systèmes d'information mis en œuvre pour lutter contre l'épidémie. Comme cela est expressément indiqué, la collecte de ces données ne peut toutefois faire l'objet d'une rémunération liée au nombre et à la complétude des données recensées pour chaque personne enregistrée.

Le déploiement de ces systèmes d’information doit être contrôlé par le « Comité de contrôle et de liaison Covid-19 », censé associer la société civile et le Parlement aux opérations de lutte contre la propagation de l’épidémie par suivi des contacts ainsi qu’au déploiement des systèmes d’information prévus à cet effet.

Le Gouvernement devra enfin adresser au Parlement un rapport détaillé de l’application de ces mesures tous les trois mois à compter de la promulgation de la loi et jusqu’à la disparition des systèmes d’information développés aux fins de lutter contre la propagation de l’épidémie de covid-19. Ces rapports seront complétés par un avis public de la CNIL.

Hormis les deux réserves précitées – la suppression des coordonnées de contact téléphonique ou électronique des personnes dans le cadre de la surveillance épidémiologique et de la recherche contre le virus, la suppression des organismes assurant l’accompagnement social des intéressés de la liste des organismes pouvant accéder aux données -, le Conseil constitutionnel, dans sa décision du 11 mai 2020, a jugé que cette loi était conforme à la Constitution. Selon les Sages, elle porte indéniablement atteinte au droit au respect de la vie privée mais en voulant renforcer les moyens de la lutte contre le Covid-19 par l’identification des chaînes de contamination, le législateur a poursuivi un autre objectif de valeur constitutionnelle : la protection de la santé.

Concrètement, deux outils numériques sont actuellement déployés dans le cadre de la lutte contre la propagation du Covid-19 : 

– « SI-DEP » (système d’information de dépistage), qui est une plateforme sécurisée mise en œuvre par le ministère de la santé, où sont systématiquement enregistrés les résultats des laboratoires de tests COVID-19, visant à s’assurer que tous les cas positifs sont bien pris en charge ;

– « Contact COVID », qui est un outil numérique mis en œuvre par la Caisse Nationale d’Assurance Maladie, susceptible d’être utilisé par tous les professionnels de santé (médecins, pharmaciens, biologistes des laboratoires de dépistage COVID, et les professionnels habilités par la CNAM, Santé Publique France et les ARS), qui aide à la prise en charge des cas COVID-19. Il vise à aller au plus vite dans l’identification des personnes contacts autour d’un cas COVID-19. Il permet de vérifier que chacun a été appelé, informé, testé, et accompagné.

La loi du 11 mai 2020 spécifie que l'inscription d'une personne dans le système de suivi des personnes contacts emporte prescription pour la réalisation et le remboursement des tests effectués en laboratoires de biologie médicale, par exception à l'article L. 6211-8 du code de la santé publique, ainsi que pour la délivrance de masques en officine.

La mise en balance du secret médical avec le principe à valeur constitutionnelle de protection de la santé est ainsi manifeste.

L’Ordre des médecins s’est déclaré « satisfait des garanties données par le Gouvernement et des avancées apportées par le débat parlementaire au projet de loi prorogeant l’état d’urgence sanitaire », dans un communiqué du 12 mai 2020.

Cocteau écrivait dans Le Rappel à l’ordre : « un secret a toujours la forme d’une oreille ». À n’en pas douter, cette oreille prend de plus en plus une forme virtuelle.