Sanction d'un médecin par la CNIL à défaut de communication au patient de son dossier médical (fr)

Un article de la Grande Bibliothèque du Droit, le droit partagé.

Auteur : Anthony Bem, avocat au Barreau de Paris
Juin 2017


Le droit des données à caractère personnel oblige-t-il les professionnels de santé à communiquer le dossier médical à leur patient ?


L'Europe et la France disposent de textes qui confèrent des droits aux personnes à l’égard du traitement automatisé de leurs données à caractère personnel, dont la fameuse loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.


Ainsi, tous les professionnels de santé sont supposés mettre en place une procédure permettant de répondre aux demandes d’accès aux données figurant dans le dossier médical et administratif de leurs patients.

La loi informatique et libertés précise également que les données de santé peuvent être communiquées directement à la personne ou, si elle le souhaite, à un médecin qu’elle aura préalablement désigné.

Enfin, la communication du dossier médical doit être faite au plus tard dans les 8 jours suivant la demande et au plus tôt dans les 48 heures.

Si les informations remontent à plus de cinq ans, le délai est porté à 2 mois.

S'agissant du secret du dossier médical, l’article L. 1111-7 du code de la santé publique dispose que :

« Toute personne peut accéder à ces informations directement ou par l’intermédiaire d’un médecin qu’elle désigne et en obtenir communication ».

Ce même article prévoit un délai dérogatoire quant à la communication de ces informations : au plus tard dans les huit jours suivant sa demande et au plus tôt après qu'un délai de réflexion de quarante-huit heures aura été observé.

« Ce délai est porté à deux mois lorsque les informations médicales datent de plus de cinq ans […]. » Or, chaque année, la Commission Nationale de l'Informatique et des Libertés (ci-après la CNIL) reçoit de nombreuses plaintes de patients contre des médecins libéraux concernant le droit d’accès à leur dossier médical.

Le 18 mai 2017, la CNIL a prononcé une sanction pécuniaire à l’encontre d'un dentiste qui refusait de transmettre le dossier médical à son patient (CNIL, formation restreinte, SAN-2017-008, 18 mai 2017).

En l'espèce, l'ancien patient d'un chirurgien-dentiste a porté plainte contre ce dernier auprès de la CNIL.

Il lui était reproché de ne donner aucune réponse à ses demandes d’accès aux données à caractère personnel contenues dans son dossier médical.

Pendant plusieurs mois, le plaignant a été dans l'impossibilité de transmettre les données relatives à son état de santé dentaire à un nouveau praticien.

La CNIL a donc demandé, à plusieurs reprises, au chirurgien-dentiste ses observations.

En vain, en l’absence de réponse de sa part, la Présidente de la CNIL a mis en demeure le dentiste de définir et mettre en œuvre une procédure effective de droit d’accès au dossier médical et de garantir, dans ce cadre, l’exercice du droit d’accès des personnes aux données à caractère personnel contenues dans leur dossier médical.

De plus, il lui était enjoint de communiquer au plaignant une copie de ses données.


En défense, le chirurgien-dentiste a vainement fait valoir que :

- il a répondu à la demande du plaignant en lui envoyant son dossier médical par courrier simple, puis par courrier recommandé avec accusé de réception;

- avant d’envoyer son dossier médical au plaignant, il s’était préalablement renseigné sur ses obligations déontologiques, notamment afin de s’assurer que les données contenues dans son dossier n’étaient pas couvertes par le secret médical ;

- en raison du comportement belliqueux du plaignant, une consultation du dossier médical sur place s’est avérée impossible ;

- un contentieux avec le plaignant était en cours devant l’ordre des chirurgiens-dentistes.


En effet, la CNIL a pris acte de la transmission du dossier médical au plaignant postérieurement à la notification du rapport de sanction et donc que le dentiste n’établissait pas avoir fait droit à la demande du plaignant au terme du délai qui lui était imparti dans la mise en demeure.

Aussi, la CNIL a estimé que le défaut de réponse du dentiste aux demandes de celle-ci caractérisaient un défaut de prise en compte des questions Informatique et Libertés liées au traitement des données à caractère personnel.

Surtout, la CNIL a considéré que les obligations déontologiques, notamment celles liées au secret médical, ne pouvaient être utilement invoquées en défense par le chirurgien-dentiste.

La CNIL a ainsi posé le principe selon lequel le secret médical ne saurait s’opposer à la communication au patient des données le concernant et contenues dans son dossier médical au nom du droit d'accès aux données à caractère personnel.


En conséquence, la CNIL a jugé que le manquement aux obligations découlant de la loi du 6 janvier 1978 était caractérisé et a prononcé à l'encontre du dentiste une sanction d’un montant de 10.000 euros.

Par ailleurs, au regard de la persistance dans le temps des manquements formulés à l'encontre du dentiste et afin de sensibiliser les personnes et les responsables de traitement aux droits et obligations issus de la loi Informatique et Libertés, la CNIL a décidé de rendre publique sa décision.