En avril 2019, l’autorité suédoise de protection des données (APD ; Datainspektionen) a effectué une inspection à l’hôpital universitaire Sahlgrenska (Sahlgrenska universitetssjukhuset). L’hôpital fait partie de la région de Västra Götaland.

L’hôpital conserve les dossiers médicaux d’environ 900 000 patients. Il existe environ 25 000 comptes d’utilisateurs ayant accès au système de dossiers médicaux, alors que l’hôpital ne compte qu’environ 18 000 employés. L’hôpital coopère avec d’autres services de la région de Västra Götaland et suppose que les employés des services avec lesquels il coopère ont un besoin légitime d’accès direct aux dossiers médicaux. Aux fins du chapitre 4(1) de la loi suédoise sur les données des patients, l’hôpital considère que ces informations sont légalement partagées au sein de la même « zone de secret» (inre sekretess zon).

Tous les travailleurs de la santé, y compris les secrétaires médicales, ont un accès général à tous les dossiers médicaux, y compris ceux qui ne relèvent pas de leur service. Si le patient a un accès restreint à son dossier, seules les personnes travaillant dans ce service peuvent le consulter. Les médecins et les infirmières ont un accès général et un accès d’urgence. Cela signifie qu’ils peuvent accéder aux dossiers médicaux restreints en dehors de leur service dans une situation où le patient n’est pas en mesure de donner son consentement.

L’hôpital tient également un registre lorsqu’un dossier médical est consulté. Ce registre mentionne le nom du professionnel de la santé, la partie du dossier qui a été consultée, ainsi que la date et l’heure du dernier accès.

Le DPA a estimé que l’hôpital n’avait pas mis en œuvre les mesures organisationnelles et techniques adéquates pour protéger les dossiers médicaux

Dans une décision DI-2019-3840 du 02.12.2020 (https://www.imy.se/globalassets/dokument/beslut/beslut-tillsyn-sahlgrenska-universitetssjukhuset-di-2019-3840.pdf), présentée et résumée par Kave Noori sur gdprhub (https://gdprhub.eu/index.php?title=Datainspektionen_-_DI-2019-3840), l’ADP a notamment retenu ce qui suit :

Absence d’analyse des risques et de la nécessité

En Suède, la législation sectorielle se compose de la loi sur les données des patients et des règles et directives générales de l’Office national de la santé et du bien-être sur la tenue des dossiers médicaux et le traitement des données à caractère personnel dans le système de soins de santé (Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården, HSLF-FS 2016:40).

Le chapitre 4 (2) HSLF-FS 2016:40 exige que l’hôpital, en tant qu’établissement de soins, procède à une analyse dite de risque et de nécessité avant de donner à son personnel l’accès aux différentes parties du système de conservation des dossiers médicaux. En outre, le chapitre 4, paragraphe 2, de la loi sur les données des patients stipule que l’hôpital (prestataire de soins) doit limiter l’accès de ses employés à ce qui est nécessaire à l’exercice de leurs fonctions. La loi sur les données des patients autorise également la conservation « cohérente » des dossiers médicaux, ce qui signifie qu’un soignant peut avoir un accès direct au dossier médical d’un autre soignant. Toutefois, avant d’accorder à ses employés l’accès à d’autres dossiers médicaux, le prestataire de soins doit procéder à une analyse des risques et de la nécessité.

L’APD a estimé que l’analyse des risques et des nécessités actuellement menée par l’hôpital était adaptée à la finalité de l’informatique (sécurité axée sur les employés), ce qui constitue une forme d’analyse des risques différente de celle exigée par la norme HSLF-FS 2016:40. L’APD recherchait une analyse des risques qui évaluerait les risques pour les patients en tant que personnes concernées. Par exemple, si les patients qui sont célèbres, qui ont une identité protégée ou qui ont un diagnostic spécial, risquent de subir un préjudice si l’autorisation d’accès est trop souple. En outre, l’APD a estimé que l’hôpital n’avait pas correctement évalué la manière dont les autorisations devaient être définies afin que les employés n’aient accès qu’aux informations dont ils ont besoin pour faire leur travail.

Les droits d’accès aux dossiers médicaux étaient trop étendus

L’APD a rappelé que l’analyse des risques et des nécessités devait déterminer comment l’établissement de soins attribuait aux travailleurs de la santé l’autorisation d’accéder aux dossiers médicaux. Dans ce cas, environ 25 000 personnes avaient accès aux dossiers médicaux, alors que l’hôpital ne comptait qu’environ 18 000 employés. L’hôpital a attribué des autorisations de telle sorte que les travailleurs de la santé, quel que soit le service dans lequel ils travaillaient, pouvaient accéder aux dossiers médicaux de tous les services de l’hôpital. Sur cette base, l’APD a conclu que la majorité des employés de l’hôpital avaient accès à plus de dossiers médicaux qu’ils n’en avaient besoin pour faire leur travail. L’APD critique également le fait que l’hôpital ait donné un accès direct aux dossiers médicaux à des personnes travaillant dans d’autres services gouvernementaux de la région de Västra Götaland.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)