Sanction financière importante prononcée à l'encontre d'un hôpital pour non-respect des règles en matière de protection des données à caractère personnel

L’hôpital sanctionné a été victime de deux attaques informatiques : (i) une première en 2019 et (ii) une seconde en 2021. C’est à la suite de cette seconde attaque qu’une enquête a été initiée par le service d’inspection de l’autorité de protection des données. Les enquêteurs en charge de la réalisation de cette enquête ont considéré que l’hôpital n’avait pas entrepris les démarches nécessaires pour se conformer au RGPD, et ce malgré la première attaque informatique subie en 2019. Bien que cette conclusion ait été contestée par l’hôpital, la chambre contentieuse a jugé que les constats faits par les enquêteurs étaient vérifiés et a sanctionné financièrement l’hôpital.

La décision rendue intéressera certainement les hôpitaux en raison du fait que la chambre contentieuse précise dans sa décision certaines mesures techniques ou organisationnelles qui doivent être appliquées en matière de sécurité par les hôpitaux.  Ainsi, l’on peut par exemple lire dans la décision que la chambre contentieuse considère qu’un mot de passe dont la longueur est inférieure à 12 caractères n’est pas suffisamment robuste pour être utilisé en milieu hospitalier (voir points n°122 et 123 de la décision). En matière de formation du personnel, la chambre contentieuse indique que les employés des hôpitaux doivent recevoir une formation appropriée et régulière (point n°99 de la décision). Ces formations doivent être dispensées à suffisamment de collaborateurs. Dans la décision attaquée, la chambre contentieuse a jugé que les mesures de formation n’étaient pas satisfaisantes car « ces formations ne s’appliquent qu’à une infime proportion des membres du personnel (…) » (point n°104 de la décision). Nul doute qu’il est recommandé aux hôpitaux de prendre en compte ces enseignements dans la mise en œuvre des mesures organisationnelles pour le futur. D’autres aspects des mesures organisationnelles sont évalués par la chambre contentieuse dans sa décision.

La chambre contentieuse s’est également prononcée sur la nature juridique de l’hôpital.  En Belgique, une « autorité publique » au sens du RGPD et de la loi du 30 juillet 2018 ne peut pas se voir imposer une amende (pour autant qu’elle n’offre pas des biens ou des services sur un marché)  en application de l’article 122, §2 de la loi du 30 juillet 2018 « relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel ». L’hôpital concerné – qui est une ASBL de droit privé – défendait la thèse selon laquelle il devait être assimilé à une autorité publique. Cette thèse n’a pas été suivie par la chambre contentieuse. Pour être assimilé à une autorité publique, un hôpital doit démontrer que trois conditions sont réunies (article 5, 3° de la loi du 30 juillet 2018):

i. L'hôpital doit avoir été créé pour satisfaire spécifiquement des besoins d'intérêt général ayant un caractère autre qu'industriel ou commercial; et

ii. L'hôpital doit être doté de la personnalité juridique; et

iii. L'activité de l'hôpital doit correspondre à au moins un des critères suivants:

     a. soit être financée majoritairement par l'état fédéral, les entités fédérées et les autorités locales (ou des personnes morales de droit public qui en dépendent);

     b. soit la gestion de l'hôpital doit être soumise à un contrôle des autorités publiques; ou

     c. soit plus de la moitié des membres de l'organe d'administration, de direction ou de surveillance sont désignés par ces autorités ou organismes.

Dans sa décision, la chambre contentieuse a considéré que la première ainsi que la troisième condition n’étaient pas remplies par l’hôpital pour lui permettre d’être assimilé à une autorité publique. L’analyse de la chambre contentieuse sur ce point est selon nous discutable. Si l’hôpital en question interjette appel de cette décision, il sera intéressant de voir si la cour des marchés se rallie à la conclusion de la chambre contentieuse (ou non).

En résumé, au-delà du caractère important de la sanction prononcée, la décision rendue par la chambre contentieuse sera utile aux hôpitaux qui souhaitent déterminer si certaines des mesures organisationnelles et techniques actuellement mises en place sont conformes aux attentes de la chambre contentieuse. La décision rendue permet également de mesurer les attentes de la chambre contentieuse en matière de protection des données à caractère personnel en milieu hospitalier.

Guillaume Pomes

Consentement éclairé pour l'accès aux données de santé et RD du 15 décembre 2024

L'article 36 établit des règles concrètes sur le consentement éclairé pour l'accès aux données relatives à la santé. Trois objectifs sont essentiels à cet égard : l'autodétermination du patient, la qualité et la sécurité des soins, et une charge administrative minimale. Les patients doivent pouvoir choisir librement leurs prestataires de soins de santé et être assurés de la transparence et de la protection des données. Seules les données pertinentes doivent être partagées et les prestataires de soins doivent respecter le secret professionnel. Selon le rapport au Roi, l'accès aux informations pertinentes est essentiel pour une bonne coopération au sein des équipes pluridisciplinaires, par exemple dans les hôpitaux et autres établissements de soins de santé où les dossiers des patients sont partagés. Le consentement éclairé peut être donné oralement, par écrit ou par voie électronique. Grâce à la plateforme de santé en ligne, les patients peuvent enregistrer leur consentement et le retirer. En outre, les patients peuvent également exclure certains prestataires de soins de santé de cet accès aux données. Cette exclusion doit être faite au moins 10 jours à l'avance afin que le responsable du traitement puisse encore s'organiser.

L'article 37 désigne des catégories de professionnels de la santé qui ne seront pas autorisés à accéder aux données de santé partagées, comme les médecins d'assurance et de contrôle. Ils travaillent souvent dans des intérêts autres que la santé immédiate du patient et ne peuvent accéder aux données que dans des cas spécifiques définis par la loi.

Le rapport au Roi souligne que l'accès aux données de santé sans relation thérapeutique, d'une part, et l'accès par le patient lui-même aux données de santé pertinentes, d'autre part, ne relèvent pas du champ d'application de la loi sur la qualité et que ces accès sont réglementés par une législation distincte.

Brigje Verhasselt

Qu’est-ce qu’un médecin hospitalier? La Cour de Cassation précise

La loi sur les hôpitaux définit le médecin hospitalier comme « le médecin attaché à l’hôpital ou au réseau hospitalier clinique locorégional » (art. 8, 4°). Pour la Cour de Cassation, cette expression « attaché à l’hôpital » implique nécessairement un lien juridique avec l’hôpital et pas n’importe lequel. La Cour fait en effet le parallèle avec l’article 145 de la loi sur les hôpitaux et considère que seuls une convention ou un acte de nomination du médecin sont susceptibles de créer ce fameux lien juridique octroyant au médecin le statut de médecin hospitalier.

De nombreux praticiens du droit, en ce compris certains juges, estimaient auparavant que ce lien qui devait exister entre le médecin et le gestionnaire était à interpréter très largement. Une collaboration entre un médecin et un hôpital pouvait découler par exemple d’un contrat oral, sans que les bases de la collaboration soient nécessairement formellement définies par écrit, et c’est alors le droit commun des contrats et les dispositions de la loi sur les hôpitaux qui s’appliquaient [1]. C’est de cette façon que certains médecins, invoquant l’existence d’un contrat oral, entendaient bénéficier de la même protection que la loi accorde au médecin hospitalier, notamment l’obligation faite au gestionnaire de solliciter l’avis du Conseil médical avant toute sanction ou rupture de la collaboration (art. 137 et 138 de la loi sur les hôpitaux).

Certes, l’article 145 de cette même loi impose l’exigence d’un écrit, à savoir une convention ou un acte de nomination. Cependant, la jurisprudence avait davantage tendance à faire dépendre de cet écrit l’opposabilité de la Réglementation générale au médecin plutôt qu’à le considérer comme un élément constitutif du statut de médecin hospitalier. Il est d’ailleurs vrai que la définition de médecin hospitalier de l’article 8, 4° ne reprend nulle part cette exigence d’un écrit [2]

La jurisprudence antérieure de la Cour de Cassation confortait d’ailleurs cette tendance. Par un arrêt du 27 mai 2019, la Cour de Cassation rappelait ceci :

« Il suit de l’ensemble de ces dispositions et de la genèse de la loi que la réglementation générale visée à l’article 130 de la loi sur les hôpitaux définit un cadre général au sein duquel les droits et devoirs individuels concrets du médecin hospitalier et du gestionnaire sont déterminés dans une convention individuelle écrite et qu’à défaut de concrétisation dans une convention individuelle écrite, il n’est pas possible de se prévaloir de la réglementation générale pour créer directement des devoirs dans le chef du médecin hospitalier ».

Dans cet arrêt de 2019 et malgré l’absence de convention écrite, la Cour de Cassation ne semblait pas remettre en question le statut de médecin hospitalier du médecin concerné. En d’autres termes, avec cet arrêt de 2019, seul l’hôpital était impacté : le gestionnaire ne pouvait pas imposer au médecin les droits et obligations découlant de sa Réglementation générale [3]. En revanche, le médecin ne se voyait pas pour autant privé de son statut de médecin hospitalier au sens de la loi sur les hôpitaux et ce, en dépit du fait qu’il ne disposait pas d’une convention écrite avec le gestionnaire.

Cet arrêt s’inscrivait dans le prolongement de la jurisprudence antérieure de la Cour de Cassation qui estimait que l’hôpital ne pouvait se prévaloir d’une nouvelle réglementation générale tant que la convention individuelle écrite du médecin n’y faisait pas référence. L’ancienne convention restait alors en vigueur [4].

L’arrêt du 4 octobre 2024 rabat cependant les cartes et va plus loin. En liant l’article 145 de la loi sur les hôpitaux avec l’article 8, 4° de cette loi, la Cour fait de cet écrit le lien juridique exclusif censé rattacher le médecin à l’hôpital, lui octroyant par là même la qualification de médecin hospitalier. Autrement dit, en l’absence d’écrit – lequel doit d’ailleurs reprendre toute une série d’éléments listés à l’article 145 – le médecin n’est pas médecin hospitalier au sens de la loi sur les hôpitaux et à ce titre, ne dispose d’aucuns droits ni obligations repris dans cette loi. Entres autres, il ne peut voter au Conseil médical et ne peut se prévaloir de la protection du Conseil médical des articles 137 et suivants. Il n’est pas non plus visé par la perception centrale organisée par les articles 147 et suivants de la loi et n’est pas tenu contribuer aux frais de l’hôpital comme prévu à l’article 154, ces articles n’étant applicables qu’aux médecins hospitaliers.

Ce qui est intéressant c’est que les quelques éléments factuels cités dans l’arrêt publié montrent pourtant que le médecin exerçait en fait depuis plusieurs années au sein de l’établissement. Il réalisait des chirurgies ainsi que des gardes et ses honoraires étaient perçus centralement par le gestionnaire. La Cour de Cassation a malgré tout considéré – suivant en cela le raisonnement de la Cour d’appel – que ces éléments ne prouvaient que l’existence d’un lien factuel entre le gestionnaire et le médecin, pas un lien juridique. Sans être médecin hospitalier, il se voyait pourtant imposer des obligations qui découlent de ce statut, en ce compris la perception centrale de ses honoraires ce qui est particulièrement frappant étant donné que cette perception – que la loi ne prévoit que pour les montants destinés à rémunérer les prestations des médecins hospitaliers - s’accompagne généralement de prélèvements sur honoraires supposés couvrir les frais de l’hôpital non couverts par le BMF et découlant des prestations médicales (art. 147 et 154). A priori, seul un accord explicite d’un médecin non hospitalier autorise le gestionnaire à percevoir les honoraires découlant de ses prestations. De la même façon, son accord sur le montant des prélèvements à déduire de ses honoraires est indispensable. L’accord du Conseil médical selon le mécanisme prévu à l’article 155, §4 et 5 lui est inapplicable.

L’article 30 prévoyant la responsabilité centrale de l’hôpital ne se voit quant à lui pas impacté par ce nouvel enseignement de la Cour de Cassation puisque le législateur a veillé à englober « tous les praticiens professionnels qui y travaillent » et pas seulement les médecins hospitaliers. D’autres questions en lien avec cette responsabilité peuvent cependant se poser. Cet article impose notamment à l’hôpital de veiller à ce que chaque praticien professionnel « qui n’y travaille pas sur la base d’un contrat de travail ou d’une nomination statutaire » respecte les droits du patient (art. 30, alinéa 1er). Or, l’article 21 de la loi sur les hôpitaux, récemment modifié en 2023 afin d’octroyer aux médecins-chefs deux pouvoirs d’exécution (un pouvoir d’instruction et un pouvoir d’avertissement) afin de leur permettre d’exiger le respect de la politique médicale instaurée à l’hôpital [5], ne s’applique quant à lui qu’aux médecins hospitaliers. En d’autres termes, l’hôpital, sur fondement de sa responsabilité centrale, pourrait se voir reprocher les agissements d’un médecin qui exerce au sein de son établissement sans être médecin hospitalier puisque dépourvu de lien conventionnel mais le médecin-chef, éventuellement alerté par un comportement problématique de ce médecin à l’égard de la qualité des soins ou la sécurité des patients, se verrait privé de toute initiative à cet égard.

Les conséquences de cet arrêt sont donc très importantes, d’autant que l’interprétation de cet arrêt peut être très large. Une autre question peut également en effet se poser quant à la portée de l’enseignement de cette toute nouvelle jurisprudence relative à la partie contractante de cette convention ou auteur de cet acte de nomination dont dépend dorénavant ce statut de médecin hospitalier. Est-il nécessaire que cet acte émane du gestionnaire actuellement en charge de l’exploitation de l’hôpital, à l’exclusion du précédent ? Le monde hospitalier a connu ces dernières années de nombreuses évolutions tant législatives que sociétales, lesquelles ont eu un impact sur la gestion des hôpitaux. Actuellement, la presque totalité des hôpitaux du pays ont été constitués à la suite de fusion successives ou transfert d’activité, se sont mis en réseau et pour certains ont changé de gestionnaire. Toutes ces évolutions n’ont pas toujours été actualisées via la conclusion d’un avenant avec les médecins. Ceux-ci n’ont donc pas toujours une convention individuelle conclue avec le gestionnaire actuel de l’hôpital. Vu le libellé de cet arrêt du 4 octobre – qui précise qu’il faut, pour être médecin hospitalier, un lien juridique de nomination ou de désignation du gestionnaire de l’hôpital – l’on peut se demander si le fait d’avoir conclu un tel accord à l’époque avec un ancien gestionnaire suffit ou sera assimilé à une absence de convention écrite.

Céline Bachez

«1» Voy. par exemple Liège, 31 mars 2006, 200RG387, sommaire disponible sur www.juportal.be

«2» Notons cependant que si la loi sur les hôpitaux ne prévoit pas dans cette définition l’exigence d’un écrit, l’article 1er , 1° de l’Arrêté royal du 10 août 1987 fixant les règles relatives à la composition et au fonctionnement du Conseil médical en exécution des articles 24, 25 et 26 de la loi du 23 décembre 1963 sur les hôpitaux le mentionne expressément : « 1° sont considérés comme médecins hospitaliers :

a) les médecins exerçant à l'hôpital et dont l'activité est régie par une convention individuelle ou un acte de nomination, visés à l'article 33 de la loi du 23 décembre 1963 sur les hôpitaux, y inséré par l'arrêté royal n° 407 du 18 avril 1986; »

«3» Cass. (3e ch.), 27 mai 2019, C.16.0081.N, Rev. dr. santé, 2020-21, liv. 4, 310 et E. DELBEKE, « La réglementation générale de l’hôpital n’est pas transposable sans convention individuelle écrite », Rev. dr. santé, 2020-21, liv. 4, 311 à 315.

«4» “Attendu que, après qu’une réglementation générale a été élaborée par le gestionnaire de l’hôpital, conformément à l’article 130 de la loi précitée, il y a lieu de remplacer les conventions individuelles existantes entre les médecins hospitaliers et le gestionnaire de l’hôpital par de nouvelles conventions fixant par écrit les droits et devoirs respectifs du médecin hospitalier individuel et du gestionnaire, par référence à la réglementation générale ;

Que, toutefois, tant qu’aucune convention individuelle n’a été conclue entre le gestionnaire et le médecin hospitalier, dans laquelle il est fait référence à la réglementation générale prévue par l’article 130, l’ancienne convention reste en vigueur, y compris les modes de résiliation qu’elle prévoit, pour autant qu’ils ne soient pas contraires à des dispositions légales impératives ; que ni les articles 130 et 131 de la loi du 23 décembre 1963 sur les hôpitaux ni aucune autre disposition légale n’excluent le congé comme mode de cessation des rapports juridiques entre le gestionnaire et le médecin hospitalier et ne règlent ses modalités »,Cass. (3e ch.), 8 avril 2002, C.00.0118.N, Rev. dr. santé, 2002-03, liv. 5, 322, note S. CALLENS.

«5» Projet de loi portant des dispositions diverses en matière de santé, exposé des motifs, Doc., Ch., 2022-2023, n°3538/001, p. 8 et 9.

Médiation en application de la nouvelle loi sur les droits des patients

Ce projet de loi introduit un nouvel article 16/1 dans la loi relative aux droits du patient et fait référence à la fonction de médiateur. L'une des tâches de cette fonction de médiateur est d'assurer la médiation de certaines plaintes. Tous les documents et communications écrites ou orales recueillis dans le cadre de cette médiation sont confidentiels. Cela signifie qu'ils ne peuvent être utilisés que dans le cadre de la médiation. Il est donc interdit d'utiliser ces informations dans d'autres procédures ou de les présenter comme preuves. Si ces données venaient néanmoins être utilisées dans une procédure, elles doivent être exclues des débats.

Toutefois, certaines exceptions sont possibles. Par exemple, la demande de médiation, l'accord de médiation et le document établissant l'échec de la médiation ne sont pas soumis à cette obligation de confidentialité. En principe, ils peuvent donc être utilisés dans le cadre d’une procédure. Toutefois, les parties peuvent s'y opposer par écrit.

Les parties peuvent également déclarer par écrit qu'elles souhaitent renoncer à l'obligation de confidentialité. Dans ce cas, les documents et les communications issus de la médiation peuvent être utilisés dans le cadre d’une procédure.

Brigje Verhasselt

La bonne maitrise d’une des trois langues nationales comme condition pour obtenir le visa – bientôt une réalité?

Le gouvernement semble vouloir compléter les conditions à remplir pour pouvoir obtenir le visa, en y insérant une obligation de maitrise d’une des trois langues nationales2. En l’état actuel du projet, il est prévu que le professionnel devra prouver la maitrise en fournissant un diplôme d’enseignement (soit secondaire, soit supérieur, soit universitaire) néerlandophone, francophone ou germanophone. À défaut d’être en possession d’un tel diplôme, le demandeur pourra également prouver son niveau de maitrise d’une langue en fournissant un certificat de niveau linguistique. Le niveau à démontrer, dans le cas de la production d’un certificat de maitrise d’une langue, devra attester un niveau C1 pour les professionnels titulaires d’un diplôme de master (à l’exception de l’aptitude écrire pour laquelle le niveau B2 suffit). Pour les diplômes de niveau inférieur, le niveau à démontrer sera également inférieur (exemple : niveau B2 pour les titulaires d’un diplôme de niveau de bachelier).

Une exception est toutefois prévue lorsqu’il est fait appel à un professionnel de soins de santé étranger qui dispose d’une expertise particulière.

Bien que l’exposé des motifs de l’avant-projet indique que cette exigence de maitrise de la langue ne s’appliquera que pour les nouvelles demandes de visa, il est toutefois prévu dans cet avant-projet de loi que les professionnels de soins de santé devront maitriser en tout temps une des trois langues nationales. Si les détenteurs de visas délivrés avant l’entrée en vigueur de cet avant-projet ne sont pas concernés par l’obligation de conserver dans le portfolio les données nécessaires permettant de démontrer la maitrise de la langue, la formulation actuelle de la loi ne semble pas empêcher la commission fédérale de contrôle de la qualité de la pratique des soins de santé de procéder à un retrait de visa si elle considère que le professionnel de soins de santé maitrise de manière insuffisante une des trois langues nationales.

Si ces règles venaient à être adoptées, nul doute que de nombreuses questions seront soulevées en cas de contestation devant les cours et tribunaux (réparation des compétences, proportionnalité, conformité au droit européen, non-discrimination, etc.) … Affaire à suivre.

Guillaume Pomes

1 Le Roi doit encore déterminer par arrêté royal la date à laquelle cette obligation sera applicable pour les secouristes-ambulanciers, les bandagistes, les orthésistes et les prothésistes.

2Le projet est consultable via l’hyperlien suivant : https://organesdeconcertation.sante.belgique.be/fr/documents/avant-projet-de-loi-modifiant-la-loi-du-220419-et-la-loi-du-100515-concernant-la-maitrise

3https://www.lachambre.be/kvvcr/showpage.cfm?section=flwb&language=fr&cfm=/site/wwwcfm/flw b/flwbn.cfm?dossierID=3832&legislat=55&inst=K .