Confidentialité, vie privée et sécurité des informations de santé : Équilibrer les intérêts

Posted by admin Articles

Rédigé par Valerie S. Prater, MBA, RHIA, Professeur adjoint clinique
Sciences biomédicales et de l’information sur la santé
Université de l’Illinois à Chicago
8 décembre 2014

Trois concepts importants et connexes sont souvent utilisés de manière interchangeable pour discuter de la protection des informations de santé au sein du système de santé américain : la confidentialité, la vie privée et la sécurité. Pourtant, chacun de ces concepts a une signification fondamentale différente et un rôle unique.

Le plus souvent, « HIPAA » vient à l’esprit lorsque la confidentialité des informations de santé est discutée ; cependant, le concept de confidentialité des patients existe depuis beaucoup plus longtemps. Cet article explorera brièvement les différences de signification de la vie privée, de la sécurité et de la confidentialité des informations de santé. Des exemples choisis de sources de droit et de lignes directrices seront proposés en ce qui concerne ces concepts. Les défis liés à l’équilibre des intérêts des individus, des fournisseurs de soins de santé et du public seront notés, tout comme le rôle des professionnels de la gestion des informations de santé.

Confidentialité

La confidentialité dans les soins de santé fait référence à l’obligation des professionnels qui ont accès aux dossiers ou aux communications des patients de garder ces informations confidentielles. Enraciné dans la confidentialité de la relation patient-fournisseur qui remonte au quatrième siècle avant Jésus-Christ et au serment d’Hippocrate, ce concept est fondamental pour les directives des professionnels de la santé en matière de confidentialité (McWay, 2010, p. 174). Cette obligation professionnelle de garder les informations de santé confidentielles est soutenue dans les codes de déontologie des associations professionnelles, comme on peut le voir dans le principe I du code de déontologie de l’American Health Information Management Association,  » Advocate, uphold, and defend the individual’s right to privacy and the doctrine of confidentiality in the use and disclosure of information  » (AHIMA, 2011).

La confidentialité est reconnue par la loi comme une communication privilégiée entre deux parties dans une relation professionnelle, comme avec un patient et un médecin, une infirmière ou un autre professionnel clinique (Brodnik, Rinehart-Thompson, Reynolds, 2012). En tant que patients, nous en sommes venus à attendre une communication confidentielle dans ces relations. Bien que l’application dans les procédures judiciaires soit soumise aux règles de preuve et à la prise en compte du besoin public d’information, le soutien à la communication privilégiée peut être vu dans la jurisprudence. Un exemple en est la décision historique Jaffee v. Redmond, dans laquelle la Cour suprême des États-Unis a confirmé le refus d’un thérapeute de divulguer des informations sensibles sur un client pendant le procès (Beyer, 2000). En rédigeant l’opinion majoritaire, le juge Stevens a déclaré :

Une psychothérapie efficace… dépend d’une atmosphère de confiance dans laquelle le patient est prêt à faire une divulgation franche et complète… Le privilège du psychothérapeute sert l’intérêt public en facilitant la fourniture d’un traitement approprié aux individus souffrant des effets d’un problème mental ou émotionnel (Jaffee v. Redmond, 1996, p. 9).

Lorsque l’on considère des informations de santé sensibles nécessitant des couches spéciales de confidentialité, comme dans le cas d’un traitement de santé mentale, les lois de l’État fournissent des conseils aux professionnels de la gestion des informations de santé. Dans l’Illinois, par exemple, la loi sur la confidentialité de la santé mentale et des troubles du développement offre des exigences détaillées pour l’accès, l’utilisation et la divulgation d’informations confidentielles sur les patients, y compris pour les procédures judiciaires (MHDDCA, 1997).

Privacy

La vie privée, distincte de la confidentialité, est considérée comme le droit du client ou du patient individuel à être laissé seul et à prendre des décisions sur la façon dont les informations personnelles sont partagées (Brodnik, 2012). Même si la Constitution américaine ne spécifie pas un « droit à la vie privée », les droits à la vie privée en ce qui concerne les décisions individuelles en matière de soins de santé et les informations sur la santé ont été décrits dans des décisions de justice, dans les lois fédérales et étatiques, dans les directives des organismes d’accréditation et dans les codes d’éthique professionnels.

L’exemple le plus marquant est la règle fédérale HIPAA Privacy Rule, qui établit des normes nationales pour la protection de la confidentialité des informations sur la santé et définit les « informations de santé protégées » (HHSa, 2003, p. 1). Un objectif déclaré de la règle de confidentialité HIPAA « …est de définir et de limiter les circonstances dans lesquelles les informations de santé protégées d’un individu peuvent être utilisées ou divulguées… »(HHSa, 2003, p. 4).

Établie en vertu de la loi plus large Health Insurance Portability and Accountability Act de 1996 (HIPAA), telle que décrite par le U.HHS), la règle de confidentialité « …établit un équilibre qui permet des utilisations importantes de l’information, tout en protégeant la vie privée des personnes qui recherchent des soins et la guérison » (HHSa, 2003, p. 1). Les individus bénéficient de certains éléments de contrôle, comme le droit d’accéder à leurs propres informations de santé dans la plupart des cas et le droit de demander la modification d’informations de santé inexactes (HHSa, 2003, p. 12-13). Toutefois, dans cette tentative d’équilibre, la règle prévoit de nombreuses exceptions à l’utilisation et à la divulgation d’informations de santé protégées sans l’autorisation du patient, notamment pour le traitement, le paiement, les opérations des organisations de santé et pour certaines activités de santé publique (HHSa, 2003, pp. 4-7).

Bien que le débat se poursuive pour savoir si la règle de confidentialité de l’HIPAA a substantiellement renforcé les droits individuels à la vie privée, elle a certainement accru la sensibilisation au sujet de la confidentialité des informations de santé, des questions entourant sa protection et du rôle du patient dans le processus. Il ne fait aucun doute que les rôles des professionnels de la gestion de l’information sur la santé ont été influencés par les responsabilités liées à la conformité à la règle de confidentialité de l’HIPAA. En réfléchissant au dixième anniversaire de la règle de confidentialité et à ses modifications plus récentes en vertu de la loi sur les technologies de l’information pour la santé économique et clinique (HITECH), Daniel Solove a noté :

L’HIPAA a évolué au cours de la dernière décennie et a été grandement fortifié par la loi HITECH de 2009 et ses règlements de modification de l’HIPAA publiés en janvier 2013. Quoi que l’on puisse penser de l’HIPAA, il est difficile de contester qu’elle a eu un vaste impact sur les patients, le secteur des soins de santé et bien d’autres au cours des dix dernières années – et qu’elle continuera à façonner les professionnels des soins de santé et de la GIS pendant encore de nombreuses années. (Solove, 2013)

Même avant que la conversation sur la confidentialité des soins de santé soit dominée par l’HIPAA, une importante décision de la Cour suprême, Whalen v. Roe, a reconnu le droit à la confidentialité des informations de santé (1977). Cette affaire portait sur une loi de l’État exigeant que les médecins communiquent, en vue de leur saisie dans une base de données informatisée du ministère de la Santé de l’État de New York, des informations sur la prescription de certains types de médicaments susceptibles de faire l’objet d’abus ou d’une prescription excessive ; ces informations comprenaient le nom du patient, du médecin et de la pharmacie, ainsi que le dosage du médicament (McWay, 2010, p. 176). Un groupe de patients et deux associations de médecins ont intenté un procès, affirmant que cela violait la relation protégée entre le médecin et le patient (Whalen v. Roe, 1977). En confirmant cette loi, la Cour a reconnu l’intérêt de l’individu dans la protection de la vie privée tout en donnant plus de poids au droit de l’État de traiter une question d’intérêt public ; les procédures en place au ministère de la Santé pour protéger la confidentialité des informations ont également été notées comme un facteur dans la décision (Whalen v. Roe, 1977).

Le maintien de la Cour suprême dans Whalen v. Roe a abordé la notion d’intérêt équilibré vu dans la règle de confidentialité HIPAA plus tard. En disant « …les divulgations d’informations médicales privées aux médecins, au personnel hospitalier, aux compagnies d’assurance et aux agences de santé publique sont souvent une partie essentielle de la pratique médicale moderne », la cour n’a pas donné aux individus un contrôle absolu sur le partage de leurs propres informations de santé (Whalen v. Roe, 1977). Il est intéressant de noter que la décision Whalen a également noté une préoccupation croissante concernant la collecte d’informations privées en format électronique, et le rôle des directives réglementaires. Comme l’ont déclaré les juges :

Nous ne sommes pas inconscients de la menace à la vie privée implicite dans l’accumulation de vastes quantités de renseignements personnels dans des banques de données informatisées….. Le droit de recueillir et d’utiliser ces données à des fins publiques s’accompagne généralement d’une obligation législative ou réglementaire concomitante d’éviter les divulgations injustifiées (Whalen v. Roe, 1977).

Sécurité

La sécurité fait directement référence à la protection, et plus précisément aux moyens utilisés pour protéger la confidentialité des informations de santé et aider les professionnels à tenir ces informations en toute confidentialité. Le concept de sécurité s’applique depuis longtemps aux dossiers de santé sous forme papier ; les armoires à dossiers verrouillées en sont un exemple simple. À mesure que l’utilisation des systèmes de dossiers médicaux électroniques s’est développée et que la transmission de données sur la santé à des fins de facturation est devenue la norme, le besoin de directives réglementaires spécifiques aux informations médicales électroniques est devenu plus évident. La règle de sécurité HIPAA a fourni les premières normes nationales de protection des informations de santé. En abordant les garanties techniques et administratives, l’objectif déclaré de la règle de sécurité de l’HIPAA est de protéger les informations identifiables individuellement sous forme électronique – un sous-ensemble d’informations couvertes par la règle de confidentialité – tout en permettant aux fournisseurs de soins de santé un accès approprié aux informations et une flexibilité dans l’adoption de la technologie (HHS, 2003b). Encore une fois, cette notion d’équilibre apparaît dans la loi : l’accès nécessaire des prestataires de soins de santé par rapport à la protection des informations de santé des individus.

Les atteintes à la confidentialité font désormais l’objet de sanctions plus graves compte tenu des modifications apportées aux règles de confidentialité et de sécurité de l’HIPAA suite à la publication des dispositions de la règle finale de la loi HITECH. En annonçant la publication de ces changements, connus collectivement sous le nom de règle omnibus, Kathleen Sebelius, alors secrétaire du HHS, a reconnu les changements ayant un impact sur les soins de santé depuis la promulgation initiale de l’HIPAA : « La nouvelle règle aidera à protéger la vie privée des patients et à sauvegarder les informations de santé des patients dans une ère numérique en constante expansion » (HHS, 2013).

Conclusion

Les sources de droit et les lignes directrices mentionnées ici ne sont que des échantillons des nombreuses considérations en matière de confidentialité, de vie privée et de sécurité des informations de santé. La gestion des informations de santé électroniques présente des défis uniques pour la conformité réglementaire, pour les considérations éthiques et, en fin de compte, pour la qualité des soins. À mesure que l' » utilisation significative  » des systèmes de dossiers médicaux électroniques s’étend et que davantage de données sont collectées, par exemple à partir de dispositifs de santé mobiles, ce défi pour les organisations de soins de santé s’amplifie.

Une réponse à ce défi est la gouvernance de l’information, décrite comme la gestion stratégique de l’information à l’échelle de l’entreprise, y compris les politiques et les procédures liées à la confidentialité, à la vie privée et à la sécurité des informations de santé ; cela inclut le rôle de gérance (Washington, 2010). Les gestionnaires de l’information sur la santé sont particulièrement qualifiés pour jouer le rôle de gestionnaires de l’information sur la santé, car ils connaissent les divers intérêts liés à cette information, ainsi que les lois et les directives relatives à la confidentialité, à la vie privée et à la sécurité. Le rôle du gestionnaire englobe non seulement la garantie de l’exactitude et de l’exhaustivité du dossier, mais aussi la protection de sa confidentialité et de sa sécurité (Washington, 2010).

Tous ceux qui travaillent avec des informations de santé – professionnels de l’informatique de santé et de la gestion des informations de santé, cliniciens, chercheurs, administrateurs d’entreprise et autres – ont la responsabilité de respecter ces informations. En tant que patients, nous avons le droit au respect de la vie privée en ce qui concerne nos propres informations de santé et nous nous attendons à ce que ces informations soient tenues confidentielles et protégées. En tant que citoyens, notre intérêt public pour les informations sur la santé peut prévaloir, par exemple dans des situations de santé publique ou de criminalité. L’équilibre des divers intérêts dans les informations de santé et le maintien de leur confidentialité, de leur vie privée et de leur sécurité présentent des défis permanents et importants au sein des systèmes de santé et juridiques américains, ainsi que des opportunités de carrière pour les professionnels de la gestion des informations de santé.

AHIMA. (2011). Code de déontologie de l’American Health Information Management Association.
http://library.ahima.org/xpedio/groups/public/documents/ahima/bok1_024277.hcsp?dDocName=bok1_024277

Beyer, Karen. (2000).  » First Person  » : Jaffee v. Redmond Therapist Speaks. » American Psychoanalyst,
Volume 34, no. 3. Consulté sur http://jaffee-redmond.org/articles/beyer.htm

Brodnik, M., L. Rinehart-Thompson et R. Reynolds (2012). Fondamentaux du droit pour les professionnels de l’informatique de santé
et de la gestion de l’information. Chicago : AHIMA Press. Chapitre 1.

Jaffee v. Redmond. 518 U.S. 1 ; 116 S. Ct. 1923 ; 135 L. Ed. 2d 337 (1996). LEXIS 3879. Récupéré de
http://www.lexisnexis.com/hottopics/lnacademic.

La loi sur la confidentialité de la santé mentale et des troubles du développement (MHDDCA) (740 ILCS 110). Entrée en vigueur
le 1er juillet 1997. Assemblée générale de l’Illinois. Récupéré de
http://www.ilga.gov/legislation/ilcs/ilcs3.asp?ActID=2043&ChapAct=740%26nbsp%3BILCS%26n bsp%3B110%2F&ChapterID=57&ChapterName=CIVIL+LIABILITIES&ActName=Mental+Health+and+Developmental+Disabilities+Confidentiality+Act%2E

McWay, Dana. (2010). Aspects juridiques et éthiques de l’information sur la santé, troisième édition. New York : Cengage Learning. Chapitre 9.

Solove, D. (2013).HIPAA Turns 10. Analyse de l’impact passé, présent et futur. Journal of AHIMA 84, no.4 (avril 2013) : 22-28.

L’Association américaine de psychanalyse. (2014). Landmark Cases. Récupéré de
http://apsa.org/Programs/Advocacy/Landmark_Cases.aspx

Département américain de la santé et des services sociaux (HHSa), Bureau des droits civils. (2003). Résumé de la règle de confidentialité de l’HIPAA. Extrait de http://www.hhs.gov/ocr/privacy/hipaa/understanding/summary/privacysummary.pdf

U.S. Department of Health and Human Services (HHSb), Office for Civil Rights. (2003). Résumé de la règle de sécurité de l’HIPAA. Récupéré de http://www.hhs.gov/ocr/privacy/hipaa/understanding/srsummary.html

Département américain de la santé et des services sociaux (HHS), Bureau des droits civils. (2013). Omnibus HIPAA Rulemaking, http://www.hhs.gov/ocr/privacy/hipaa/administrative/omnibus/index.html

Washington, L. (2010).  » From Custodian to Steward : Evolving Roles in the E-HIM Transition »
Journal of AHIMA. (Volume 81, no.5 : 42-43).

Whalen v. Roe. 429 U.S. 589 ; 97 S. Ct. 869 ; 51 L. Ed. 2d 64 (1977). LEXIS 42. Retrieved from
http://www.lexisnexis.com/hottopics/lnacademic.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.