RGPD : la FHF et la Cnil préparent un guide pour l’information des usagers

La Fédération hospitalière de France (FHF) prépare pour la fin de l’année “un code de conduite pour l’information des patients et des usagers des établissements sanitaires et médicosociaux publics”. Ce travail, présenté à l’occasion du salon Health-IT (HIT) de la Paris Healthcare Week le 22 mai 2019, a pour objectif “non pas d’ajouter de la complexité au règlement général sur la protection des données (RGPD) mais d’apporter des réponses pragmatiques, simples et concrètes à ceux qui ne sont pas experts du droit”, a déclaré la nouvelle présidente de la Commission nationale de l’informatique et des libertés (Cnil), Marie-Laure Denis, qui inaugurait cette table-ronde. La Cnil accompagne la FHF dans l’élaboration de ce code, notamment en participant à son “comité de DPO” (data protection officer). Cinq de ses membres étaient présents, accompagnés de la cheffe de service des outils de la conformité au sein de la Cnil et du responsable du système d’information de la FHF.

Trouver “le langage adéquat”

L’idée consiste donc à apporter aux personnels, chargés sur le terrain de mettre en conformité leur établissement avec le RGPD, des solutions opérationnelles, utilisant la terminologie de chacune des activités concernées. “Il existe beaucoup trop de fiches d’information aujourd’hui, qui font référence à des lignes et des lignes, regrette le Dr Moufid Hajjar, DPO du CHU de Bordeaux. Typiquement, sur la façon de rédiger une information à l’usage du patient, il s’agit de trouver le langage adéquat” et d’être “en capacité de lui dire que toutes ses données ont été ou seront utilisées dans telle étude”. Cette information peut avoir vocation à être diffusée sur le site internet de l’établissement, dans les courriers de sortie, sur les bornes d’accueil… “La problématique est récurrente, approuve Armande François, DPO de l’Assistance publique-Hôpitaux de Paris (AP-HP) : comment informer le patient sur l’ensemble des cartographies de traitements mis en place dans l’établissement. Nous faisons face à des contraintes d’exhaustivité autant que de compréhension de l’information remise au patient. Nous devons en outre décider s’il s’agit d’une information individuelle, collective ou qui fait l’objet d’un consentement explicite exprès.” Remarquant en souriant que ces sujets font l’objet de débats au sein du comité – “nous ne sommes pas d’accord entre DPO”, elle dit “attendre beaucoup de ce code de conduite”.

Quid des mineurs ou des patients en Ehpad ?

D’autres difficultés ont été soulevées au cours de la table-ronde. Guillaume Deraedt, DPO du groupement hospitalier de territoire (GHT) Lille, a évoqué le cas des enfants mineurs et des personnes âgées : “comment fait-on pour s’assurer que l’autorité parentale est bien celle désignée, en cas de divorce ou de séparation ? Comment fait-on avec les patients en établissement hébergeant des personnes âgées dépendantes (Ehpad) pour qu’ils comprennent leurs droits ? Comment expliquer à un patient que ses données figurent dans les 300 applicatifs d’un centre hospitalo-universitaire ? Si nous parlons de pseudonymisation, personne ne comprend”. Autre cas de figure, en psychiatrie : “l’obligation légale d’informer le patient ne doit pas créer d’anxiété supplémentaire lors de l’hospitalisation”, témoigne Bélaïd Ait-Hamouda, DPO du groupement hospitalier universitaire (GHU) Paris, qui invoque des “difficultés de formulation”. Mais il se réjouit d’un code de conduite qui regroupera les actions à mener par famille de traitement : “en fonction du traitement à effectuer, je saurai que cette fiche me concerne. Elle indiquera par exemple que je dois réaliser un affichage et je pourrai m’inspirer des mentions (indiquées dans le code) ou les adapter”.

Le comité planche sur ce code de conduite depuis fin 2018. Il sera mis à disposition des 4 800 établissements adhérents de la FHF, qui déclare 15 millions d’hospitalisation par an, et “permettra à des centaines, voire des milliers de structures de se mettre en conformité”, se félicite Ingrid Nkouenjin, cheffe de service des outils de la conformité au sein de la Cnil, qui précise que le comité DPO travaille sur sept à huit codes.