Le droit à l’effacement des données personnelles est l’un des droits phares du RGPD. Mais lorsqu’il s’agit de données de santé, la situation n’est pas aussi claire.
Peut-on réellement demander la suppression de son dossier médical ? Les professionnels de santé doivent-ils effacer les informations à la demande du patient ? Et quelles sont les obligations légales de conservation ?
Le droit à l’effacement selon le RGPD : un principe encadré
Le RGPD consacre le droit à l’effacement des données personnelles dans son article 17. Une personne peut demander la suppression de ses données notamment lorsque :
- Les données ne sont plus nécessaires au regard des finalités initiales
- La personne retire son consentement
- Les données ont été traitées illégalement
- Une obligation légale impose leur suppression
En théorie, cela semble simple. Mais en pratique, le domaine de la santé constitue une exception importante.
Données de santé : un régime juridique spécifique et renforcé
En France, le Code de la santé publique impose aux professionnels de santé et établissements de conserver les dossiers médicaux pendant une durée minimale, notamment pour :
- Assurer la continuité des soins
- Garantir la responsabilité médicale
- Répondre à des obligations médico-légales
- Permettre l’accès du patient à son historique médical
Ainsi, le droit à l’effacement est fortement limité dans ce contexte.
Peut-on demander à supprimer son dossier médical ?
La réponse est simple : non, pas intégralement dans la majorité des cas.
Un patient peut demander la suppression de ses données médicales, mais :
- Les professionnels de santé ne peuvent pas effacer les informations soumises à obligation légale de conservation
- Le dossier médical doit être conservé pendant une durée minimale (souvent plusieurs années)
- Certaines données peuvent être archivées mais pas supprimées immédiatement
Par exemple :
Un patient demande la suppression de son dossier après une hospitalisation.
- L’hôpital ne peut pas supprimer les données médicales liées aux soins.
- En revanche, certaines données administratives non nécessaires peuvent parfois être supprimées ou limitées.
Les limites du droit à l’effacement en santé
Le droit à l’effacement ne s’applique pas lorsque le traitement est nécessaire :
- Au respect d’une obligation légale (ex : conservation du dossier médical)
- À des fins de santé publique
- À la défense de droits en justice (responsabilité médicale)
- À l’archivage dans l’intérêt public
Dans ce contexte, le RGPD protège le patient, mais il protège aussi la continuité des soins et la sécurité juridique des professionnels de santé.
Effacement, accès, rectification : ne pas confondre les droits
Il est essentiel de distinguer plusieurs droits du RGPD :
| Droit d’accès | Droit de rectification | Droit à l’effacement |
|---|---|---|
|
Le patient peut obtenir une copie de son dossier médical. |
Le patient peut demander la correction d’une information inexacte (ex : erreur dans l’adresse, faute de frappe…). |
Le patient peut demander à ce que ses données soient supprimées. Son application est très limitée en santé et rarement applicable aux données médicales elles-mêmes. |
En matière de données de santé, les établissements et professionnels sont tenus de respecter les délais fixés par le RGPD et le Code de la santé publique, même lorsque la demande du patient ne peut pas aboutir à une suppression effective des données.
Le principe est clair : toute demande d’exercice de droits doit recevoir une réponse, quelle qu’en soit l’issue.
Le rôle clé du DPO
Le DPO est un acteur central de la conformité RGPD dans le secteur de la santé. Au-delà de son rôle de conseil, il intervient directement dans la gestion des demandes des patients, notamment en matière d’accès, de rectification et d’effacement des données.
Dans ce cadre, le DPO est essentiel pour garantir une réponse dans les délais légaux et sécurisée. Cette approche permet d’éviter des suppressions non conformes et de limiter les risques juridiques liés aux obligations du Code de la santé publique et du RGPD.