JurisDoR
JurisDoR
Data gouv logo

Secret professionnel

I. Cadre juridique du secret professionnel

Le secret professionnel est régi par l’article 226-13 du Code pénal : « La révélation d’une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d’une condition ou d’une mission temporaire, est punie d’un an d’emprisonnement et de 15 000 euros d’amende ».

Le secret professionnel est limité aux seules professions réglementées telles que :

  • les sources des journalistes
  • les professionnels de santé
  • les notaires
  • les avocats
  • les magistrats de l’instruction
  • l’administration fiscale
  • les établissements de crédit

Le secret professionnel ne peut pas s’appliquer aux personnes qui ne sont pas visées directement par la loi ou par la jurisprudence.

Il n’existe pas de dérogation particulière justifiée par l’intérêt public de la recherche scientifique

Cependant les données générées par les professionnels peuvent être collectées et faire l’objet d’un traitement à des fins de recherche, dès lors que les règles applicables au traitement de données personnelles, notamment celles relatives à l’anonymisation sont respectées. 

Par ailleurs, le traitement et l’analyse de ces données doivent être menées dans le respect des principes de protection des données personnelles, en particulier lorsqu’il s’agit de données de santé, qualifiées de données sensibles (par exemple la plateforme Health Data Hub). La consultation de données confidentielles doit alors passer par un accès sécurisé, assuré par un tiers de confiance.

II. Focus sur le secret médical

Le secret médical mérite une attention particulière en raison du fait que les données de santé sont au cœur de nombreuses activités de recherche.

  • Lexique : Informations relevant de la vie privée médicale

Informations qui « sont venues à la connaissance du professionnel, de tout membre du personnel de ces établissements, services ou organismes et de toute autre personne en relation, de par ses activités, avec ces établissements ou organismes. Il s’impose à tous les professionnels intervenant dans le système de santé ». 

- Article L. 1110-4, I, al. 2 du Code de la santé publique

A. Règles d’accès au secret professionnel

La loi impose le respect du secret médical non seulement au sein des établissements de santé, mais également pour les personnes en lien avec eux. 

Toutefois, certaines institutions de recherche, comme l’Institut national de la santé et de la recherche médical (INSERM) ou les Centres hospitaliers régionaux universitaires (CHRU), peuvent accéder aux informations médicales dans le cadre de collaborations encadrées. 

En effet, de nombreux traitements de données sont réalisés à des fins de recherche ou d’analyse dans le domaine de la santé, et nécessitent l’accès aux données de santé par des personnes extérieures à l’équipe de soins, comme les chercheurs. 

Les informations à caractère médical sont également qualifiées de données personnelles sensibles et sont donc soumises aux exigences de la Loi informatique et libertés (art. 6, I) et du Règlement général sur la protection des données (art. 9, 1°).

1. Règles de transmission

Les membres des professions de santé peuvent transmettre les données de santé aux responsables de traitement autorisés par la Commission nationale de l’informatique et des libertés (CNIL) ou à ceux qui se conforment à un référentiel. – Article 68 de la loi informatique et libertés du 6 janvier 1978

D’une part, la CNIL peut délivrer par une décision unique « à un même demandeur une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques ». – Article 66, IV de la loi informatique et libertés du 6 janvier 1978

Cette autorisation est prise après avis du comité compétent de protection des personnes pour les recherches impliquant la personne humaine (CPP) et du comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES). – Article 76, al. 1er, de la loi informatique et libertés du 6 janvier 1978 et articles 93 à 100 du décret du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Le CESREES peut se saisir ou être saisi par la CNIL ou le ministre chargé de la santé, sur le caractère d’intérêt public que présente un traitement à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé. – Article 72, al. 2, de la loi informatique et libertés du 6 janvier 1978

Critères d’appréciation du caractère d’intérêt public

Le Conseil d’État a précisé les critères d’appréciation d’un traitement de données de santé à des fins de recherche, d’étude ou d’évaluation. 

Selon le Conseil d'État, la CNIL, sous le contrôle du juge, doit tenir compte, notamment : 

  • de la nature et des finalités de la recherche,
  • de l'étude ou de l'évaluation sur laquelle porte la demande, 
  • de l'importance de sa contribution à l'amélioration des connaissances sur le système de santé, 
  • du public auquel la publication s'adresse, 
  • du nombre et de la sensibilité des données de santé dont la communication est sollicitée, 
  • de la qualité de l'auteur de la demande et des garanties qu'il offre, 
  • des conditions dans lesquelles ce dernier prévoit de traiter les données, de réaliser et de diffuser ses travaux, en particulier la rigueur de la méthodologie retenue et les efforts de transparence et de publication des résultats vis-à-vis des destinataires de l'étude et des personnes dont les données seraient exploitées.

- Conseil d'État, 30 juin 2023, n° 469964, Considérant 9

D’autre part, les responsables de traitement qui se conforment à un référentiel établi par la CNIL en concertation avec la Plateforme des données de santé (PDS ou Health Data Hub) peuvent mettre en œuvre un traitement des données de santé sans autorisation préalable, mais ils devront déposer une déclaration de conformité à la CNIL. – Articles 66, II et 73 de la Loi informatique et libertés du 6 janvier 1978

2. Règles de confidentialité

Le respect de la confidentialité des données des patients doit être préservé, même en cas de transmission de ces informations. 

Pour cette raison, les personnes qui mettent en œuvre des traitements de données de santé à caractère personnel, ainsi que celles autorisées à y accéder, sont soumises à une obligation de secret professionnel. – Article 68 de la loi informatique et libertés du 6 janvier 1978.

Aussi, la transmission de ces données personnelles doit se faire en garantissant leur confidentialité. –  Article 68, al. 2, de la loi informatique et libertés du 6 janvier 1978

Enfin, si les résultats du traitement de ces données sont rendus publics, il est impératif que l’identification, directe ou indirecte, des personnes concernées soit impossible, exigeant ainsi l’anonymisation des données. En cas de non-respect du secret professionnel, les responsables de traitements s’exposent aux sanctions prévues à l’article 226-13 du Code pénal. – Article 68, al. 3, de la loi informatique et libertés du 6 janvier 1978.

B. Droits des personnes concernées

Toute personne concernée doit être individuellement informée de la collecte de ses données ou de leur transmission, sauf si elle a souhaité faire usage du droit de rester dans l’ignorance d’un diagnostic ou d’un pronostic. – Article 69 de la loi informatique et libertés du 6 janvier 1978

Toute personne a également le droit de s’opposer à ce que ses données à caractère personnel fassent l’objet d’une levée du secret professionnel nécessaire au titre du traitement des données de santé réalisé. – Article 74 de la loi informatique et libertés du 6 janvier 1978

Dans ce cas, le traitement de données ne pourra pas intervenir ou ne devra pas avoir pour effet d’entraîner la levée du secret professionnel. 

Le traitement des données génétiques à des fins de recherche nécessite le consentement de la personne. – Article 75 de la loi informatique et libertés du 6 janvier 1978

Il existe toutefois une exception lorsque l’examen des caractéristiques génétiques d’une personne à des fins de recherche scientifiques est réalisé à partir d’éléments du corps de la personne prélevés à d’autres fins. Cette personne doit néanmoins être informée du programme de recherche et ne pas avoir exprimé son opposition. – Article L. 1130-5, I du Code de la santé publique