Le Comité des Ministres a adopté le 27 mars 2019 une recommandation visant à permettre de faciliter la pleine application des principes de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981, afin de les appliquer à ce nouvel environnement d’échange et de partage des données relatives à la santé.
Il y est rappelé, notamment au sujet du secret partagé des principes pour lesquels nous nous battons depuis longtemps :
8. Partage de données relatives à la santé à des fins de prise en charge et d’administration de soins de santé
8.1. En cas de partage de données relatives à la santé entre différents professionnels aux fins de prise en charge et d’administration de soins de santé d’une personne, la personne concernée sera informée préalablement, sauf impossibilité en cas d’urgence ou conformément au principe 11.6. […]
8.2. Les professionnels intervenant dans un cas individuel spécifique dans le secteur sanitaire et médico-social, et partageant des données dans un but d’amélioration de la coordination visant à assurer la qualité des soins de santé, devraient être soumis aux mêmes règles de confidentialité que les professionnels de santé.
8.3. L’échange et le partage de données relatives à la santé entre professionnels de santé devraient être limités aux informations strictement nécessaires à la coordination ou la continuité des soins, à la prévention ou au suivi médico-social et social de la personne. Chaque professionnel de santé ne peut, dans ce cas, transmettre ou recevoir que les données qui relèvent du périmètre de ses missions, en fonction de ses habilitations. Des mesures appropriées devraient être prises afin de garantir la sécurité des données.
8.4. L’utilisation d’un dossier médical électronique et d’une messagerie électronique de nature à permettre le partage et l’échange de données relatives à la santé devrait respecter ces principes.
8.5. Dans le cadre de l’échange ou du partage de données relatives à la santé, des mesures physiques, techniques et administratives de sécurité devraient être adoptées, de même que des mesures nécessaires pour garantir la confidentialité, l’intégrité et la disponibilité de ces données.
9. Communication des données relatives à la santé pour des finalités autres que la prise en charge et l’administration de soins de santé
9.1. Les données relatives à la santé peuvent être communiquées à des destinataires autorisés par la loi à obtenir un accès aux données.
9.2. Les compagnies d’assurances ne peuvent pas être considérées comme des destinataires autorisés à accéder aux données relatives à la santé des personnes, sauf si le droit le prévoit moyennant des garanties appropriées et conformément au principe 5.
9.3. Les employeurs ne peuvent pas être considérés comme des destinataires autorisés à accéder aux données relatives à la santé des personnes, sauf dans les conditions posées dans la Recommandation CM/Rec(2015)5 du Comité des Ministres aux États membres sur le traitement des données à caractère personnel dans le cadre de l’emploi.
9.4. À moins que la loi ne prévoie d’autres garanties appropriées, la communication des données relatives à la santé ne peut intervenir que si le destinataire autorisé est soumis aux règles de confidentialité propres aux professionnels des soins de santé ou à des règles de confidentialité équivalentes.
La « Recommandation CM/Rec(2019)2 du Comité des Ministres aux États membres en matière de protection des données relatives à la santé« est à lire en intégralité sur le site du Conseil de l’Europe.