Points clés
- La Cour Administrative d'Appel de Paris a rendu en 2022 une décision reconnaissant la responsabilité d'un établissement de santé dans un incident impliquant l'accès à des données médicales via un compte non désactivé — établissant un précédent sur la responsabilité médicale indirecte liée aux défaillances du système d'information.
- Le règlement EHDS (UE, 2024) précise que les professionnels de santé qui accèdent aux données de santé partagées via l'espace européen engagent leur responsabilité professionnelle individuelle pour la légitimité de leurs accès — une responsabilité qui ne peut être exercée que si le système d'accréditation garantit que les accès sont bien ceux du praticien identifié.
- L'Ordre National des Médecins (France) a publié en 2023 un guide sur la responsabilité médicale dans les environnements numériques, précisant que les praticiens peuvent être tenus responsables des actes réalisés sous leurs identifiants numériques, même s'ils affirment ne pas en être les auteurs, dès lors qu'une négligence dans la protection de leurs identifiants est établie.
Les environnements numériques de santé modifient les contours de la responsabilité médicale de manière significative. Dans un environnement papier, la signature manuscrite d'un praticien est un acte délibéré qui engage clairement sa responsabilité. Dans un environnement numérique, la "signature" est remplacée par un acte réalisé sous les identifiants du praticien — qui peut être le praticien lui-même, quelqu'un ayant accès à son compte, ou dans un cas d'usurpation, un tiers malveillant.
Responsabilité médicale et environnements numériques
La présomption de responsabilité liée aux actes réalisés sous les identifiants d'un praticien impose à ce dernier une obligation de diligence dans la protection de ses identifiants numériques. Cette obligation est reconnue par les ordres professionnels et les tribunaux : un praticien qui laisse son poste déverrouillé, partage son mot de passe, ou ne signale pas la perte de sa carte CPx engage une responsabilité potentielle pour les actes réalisés en son nom pendant la période de compromission.
Pour l'établissement, la responsabilité complémentaire porte sur les conditions dans lesquelles il a mis à disposition ses systèmes d'information : a-t-il déployé des mécanismes d'authentification adaptés aux risques ? A-t-il formé les praticiens sur leurs obligations de protection de leurs identifiants ? A-t-il mis en place des procédures permettant le signalement et le traitement rapide des incidents d'identité ?
Traçabilité et défense de la responsabilité
La traçabilité des actions dans les systèmes de santé est à double sens du point de vue de la responsabilité : elle peut établir la responsabilité d'un praticien (cet accès a bien été réalisé depuis son poste habituel, à son horaire habituel) ou au contraire la dégager (cet accès a été réalisé depuis une localisation impossible pour le praticien à cette heure, suggérant une compromission de compte). Une traçabilité complète et fiable est donc un outil de protection autant que d'investigation.
Formation des praticiens à leurs responsabilités numériques
Les praticiens doivent être formés à leurs responsabilités numériques dans le cadre de leur intégration et régulièrement dans le cadre de la formation continue : obligation de verrouillage des sessions, interdiction de partage des identifiants, procédure de signalement en cas de perte ou de compromission suspectée, et compréhension des implications légales d'un acte réalisé sous leurs identifiants. Cette formation est une obligation de l'établissement qui engage sa responsabilité en cas de défaillance.
Cas institutionnel : Responsabilité médicale numérique — Avis du CCNE (France, 2022)
Le Comité Consultatif National d'Éthique (CCNE) a publié en 2022 un avis sur les enjeux éthiques des données de santé numériques incluant une réflexion sur la responsabilité dans les environnements numériques. L'avis souligne que le développement des outils numériques de santé crée de nouvelles formes de responsabilité qui ne sont pas encore pleinement formalisées dans le droit médical et que les praticiens et les établissements doivent anticiper. En particulier, l'avis recommande que les établissements définissent explicitement dans leur documentation interne les responsabilités de chaque acteur (praticien, DSI, direction) dans la protection des accès aux données médicales — une formulation qui préfigure les obligations NIS2 sur la responsabilité des dirigeants.
L'HITECH Act a renforcé les sanctions HIPAA et établi que les praticiens peuvent être tenus personnellement responsables de violations de données liées à une négligence dans la gestion de leurs accès. Les sanctions individuelles peuvent atteindre 50 000 dollars par violation et une incarcération jusqu'à 10 ans pour les violations intentionnelles. Ces dispositions ont conduit les associations médicales américaines à développer des programmes de formation obligatoire sur la sécurité informatique pour les praticiens.
Plusieurs décisions d'autorités de protection des données européennes ont reconnu la responsabilité individuelle de praticiens de santé pour des violations de données liées à la négligence dans la gestion de leurs identifiants (postes non verrouillés, partage de mots de passe). Ces décisions établissent une jurisprudence sur la co-responsabilité de l'établissement et des praticiens dans la protection des données médicales.
Le Medical Council of Hong Kong a publié en 2022 des lignes directrices sur la responsabilité des médecins dans les environnements numériques de santé, précisant que les praticiens sont responsables de la sécurité de leurs identifiants numériques et des actes réalisés sous leur identité numérique. Ces lignes directrices s'appliquent explicitement aux accès aux dossiers médicaux électroniques et aux consultations à distance.