Ce que la loi Kouchner a promis en 2002 — la transparence médicale comme droit fondamental — est aujourd’hui une réalité quotidienne pour des milliers d’agents hospitaliers qui traitent des centaines, parfois des milliers de demandes chaque année. Entre charge administrative croissante, dossier patient hybride et exigences RGPD, le chemin entre la promesse législative et son exécution opérationnelle reste semé d’obstacles. Cet article vous propose d’en comprendre la cartographie, et les pistes pour en sortir.
1. Le virage de la transparence médicale
Avant le 4 mars 2002, accéder à son propre dossier médical était, pour un patient, un parcours du combattant. L’information de santé appartenait, dans les faits, au médecin. La loi n° 2002-303, portée par le ministre Bernard Kouchner, a renversé ce paradigme fondamental : le dossier médical appartient désormais au patient.
La loi du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé a posé le principe de l’accès direct du patient à l’ensemble des informations de santé le concernant, et le décret du 29 avril 2002 a organisé cet accès. Ce changement de cap n’est pas anodin : il signifie que chaque bit d’information généré lors d’un séjour hospitalier doit pouvoir être extrait, trié, sécurisé et transmis à la demande.
Esprit du texte
« La démocratie sanitaire peut être définie comme une organisation de la société reconnaissant le droit de chacun à connaître, décider et agir pour la santé et la protection de la santé publique. »
— Anne Laude & Didier Tabuteau, Les droits des malades, 2016
La loi Kouchner du 4 mars 2002 a ainsi établi dans un même texte les droits individuels des malades : droit de choisir librement son médecin, droit à l’information (accès au dossier médical, information sur les traitements et leurs risques), consentement aux soins, égal accès aux soins, respect du secret médical, droit d’accès aux soins palliatifs et droits collectifs des usagers du système de santé.
Vingt-quatre ans plus tard, la question n’est plus politique mais opérationnelle. L’onde de choc de cette loi a progressivement transformé les services d’archives médicales et les Départements de l’Information Médicale (DIM) en goulets d’étranglement critiques des Systèmes d’Information Hospitaliers (SIH). Avec la montée en puissance du numérique, l’avènement du Dossier Patient Informatisé (DPI) et la généralisation du RGPD, les établissements font face à une convergence de pressions qu’ils ne peuvent plus gérer à la main.
+3000
Demandes annuelles traitées dans certains CHU
8 jours
Délai légal pour les dossiers de moins de 5 ans
2 mois
Délai légal pour les archives de plus de 5 ans
2. Les points de douleur des établissements
Parler de « gestion des accès au dossier médical » peut sembler technique et distant. Mais derrière chaque demande, il y a un patient qui attend des réponses sur sa santé, un ayant droit qui cherche à comprendre les circonstances d’un décès, ou un médecin traitant qui a besoin d’informations pour assurer la continuité des soins. Et derrière le traitement de cette demande, il y a souvent une seule personne — parfois deux — dans un bureau encombré de dossiers papier, à jongler entre des logiciels qui ne se parlent pas.
L’explosion du volume des demandes
L’avènement du dossier patient numérisé tend à bouleverser la donne en rendant cet accès potentiellement automatique et immédiat, ce qui conduit à se réinterroger sur les nécessaires et nouvelles garanties à apporter au droit d’accès direct. Vingt ans après la loi, la hausse quasi continue des demandes de communication de dossier depuis 2002 témoigne de la transformation des pratiques professionnelles et de l’organisation des hôpitaux.
Les délais légaux, rappelés clairement par la CNIL, constituent une épée de Damoclès permanente :
- 8 joursà compter de la demande pour les informations récentes — un délai qui inclut la réception, l’identification du dossier, la collecte des pièces auprès de toutes les unités fonctionnelles concernées, et l’envoi sécurisé.
- 2 moislorsque les informations remontent à plus de cinq ans. Cette période de cinq ans court à compter de la date à laquelle l’information médicale a été constituée.
- Des délaispotentiellement raccourcis par la jurisprudenceen matière de responsabilité médicale : tout défaut de communication peut être qualifié de « perte de chance » dans un contentieux.
Les délais légaux, rappelés clairement par la CNIL, constituent une épée de Damoclès permanente :
8 jours
à compter de la demande pour les informations récentes — un délai qui inclut la réception, l’identification du dossier, la collecte des pièces auprès de toutes les unités fonctionnelles concernées, et l’envoi sécurisé.
2 mois
lorsque les informations remontent à plus de cinq ans. Cette période de cinq ans court à compter de la date à laquelle l’information médicale a été constituée.
Des délais potentiellement raccourcis par la jurisprudence
en matière de responsabilité médicale : tout défaut de communication peut être qualifié de « perte de chance » dans un contentieux.
Risque réglementaire
» Un défaut de communication peut entraîner une condamnation pour ‘perte de chance’ lors d’un procès en responsabilité médicale. À l’heure où la CNIL multiplie les contrôles sur les habilitations internes, le DSI se retrouve en première ligne. »
—Ad’valorem, analyse terrain, 2026
La complexité du dossier patient hybride
L’un des défis les plus sous-estimés par les directions est la nature fondamentalement hétérogène du dossier patient dans la plupart des établissements français. Sauf rares exceptions, un dossier complet comporte :
Une partie
numérique dans le DPI
(comptes rendus de consultations, prescriptions, imagerie médicale via le PACS), souvent fragmentée entre plusieurs spécialités et plusieurs logiciels métiers ;
Des documents
physiques archivés
dans des salles dédiées — parfois plusieurs sites —, classés par IPP (Identifiant Permanent du Patient) ou par date, selon des pratiques variables selon les services ;
Des résultats d’examens stockés chez des tiers
(laboratoire de biologie, prestataire d’imagerie externalisé, tiers-archiveur).
La collecte de ces éléments épars, dans un délai de huit jours, impose une coordination multi-services intense. Chaque Unité Fonctionnelle (UF) doit être sollicitée, répondre dans les temps, et transmettre ses pièces dans un format exploitable — le tout dans le respect strict de l’identitovigilance pour éviter toute confusion entre patients homonymes.
La charge mentale et administrative pour les équipes DIM et archives
On ne parle pas assez des femmes et des hommes qui portent cette charge. Les responsables d’archives médicales et les techniciens d’information médicale (TIM) du DIM font face à une pression croissante, souvent invisibilisée dans les débats sur la transformation numérique des hôpitaux.
Vécu terrain
» On reçoit des demandes par courrier, par fax encore parfois, par email, par téléphone. On doit vérifier l’identité du demandeur, retrouver tous les séjours du patient dans nos différentes unités, relancer les services qui ne répondent pas, tout en gérant l’accueil physique et les demandes urgentes pour les contentieux en cours. La semaine où on a 50 nouvelles demandes, on ne dort pas bien. »
—Responsable archives médicales, CHG, témoignage recueilli en 2025
Les conséquences de cette surcharge sont multiples : le personnel est souvent contraint de jongler entre plusieurs outils ou processus, augmentant les risques d’erreurs ; l’absence de centralisation complexifie la coordination entre les services et allonge les délais ; enfin, le non-respect des délais légaux de réponse peut entraîner des sanctions ou nuire à la relation patient.
3. État des lieux des pratiques actuelles : les limites du système traditionnel
Dans de nombreux établissements, les méthodes de transmission des dossiers médicaux n’ont pas évolué aussi vite que les obligations réglementaires. En voici le panorama brutal.
Envoi de CD-ROM
Encore pratiqué pour les données d’imagerie, il pose des problèmes de compatibilité matérielle, de traçabilité et de sécurité physique (perte, vol).
Transferts par mail non sécurisé
Pratique répandue mais illicite pour des données de santé : toute communication doit transiter par une messagerie sécurisée de type MSSanté ou un hébergeur HDS certifié.
Impressions massives
Coûteuses (papier, encre, affranchissement), chronophages et non conformes au RGPD si l’envoi n’est pas recommandé et tracé.
Tableaux de suivi manuels
Tableurs Excel, registres papier : sans traçabilité automatique, sans alerte sur les délais, sans possibilité d’audit fiable pour une inspection CNIL.
Les risques RGPD concrets
Depuis l’entrée en application du Règlement Général sur la Protection des Données (RGPD) en mai 2018, toute transmission de données de santé doit respecter des exigences strictes : base juridique, minimisation des données, sécurisation du canal de transmission, traçabilité des accès. La CNIL dispose de pouvoirs de contrôle renforcés et peut prononcer des amendes pouvant atteindre 4% du chiffre d’affaires annuel — ou 20 millions d’euros pour les organismes publics.
L’envoi par mail classique d’un dossier médical constitue une violation de données caractérisée. Or, comme le souligne le portail patient d’Ad’valorem, l’envoi de documents médicaux par mail classique est une hérésie en termes de sécurité : le portail patient garantit une traçabilité totale et un échange chiffré conforme aux exigences HDS (hébergeur de données de santé).
Références réglementaires
Sur les règles encadrant les données de santé : CNIL — L’accès au dossier médical · HAS — Certification des établissements de santé · ANAP — Archivage du dossier patient
Le coût caché du papier
Au-delà de la conformité, le modèle traditionnel a un coût financier que peu d’établissements ont vraiment chiffré : frais d’impression, coût de l’affranchissement recommandé, espace de stockage physique (les archives médicales occupent des surfaces précieuses), et surtout temps ETP mobilisé sur des tâches sans valeur ajoutée médicale. Les économies estimées grâce à un logiciel de gestion des archives comme Gesmedic sont de l’ordre de 20 à 30% sur les examens médicaux non refaits, et d’un gain de place de 30% sur le stockage des dossiers actifs.
4. La réponse technologique : Ges’dim d’Ad’valorem
Solution métier
Ges’dim — Ad’valorem
Conçu en partenariat avec des établissements publics de santé, Ges’dim est un applicatif métier spécialisé dans la gestion des demandes d’accès aux informations médicales, de la réception de la requête jusqu’à la transmission sécurisée du dossier.
Ges’dim est une solution logicielle développée par AD’Valorem qui permet aux établissements de santé de gérer et de centraliser efficacement les demandes d’accès aux dossiers médicaux des patients, en conformité avec la loi Kouchner, grâce à un traitement sécurisé, automatisé et adapté aux exigences réglementaires.
Ges’dim a été développé en partenariat avec trois centres hospitaliers et permet de gérer plus facilement et rapidement les demandes d’informations médicales des patients. Face à une demande croissante — pouvant atteindre 3 000 demandes par an dans un CHU — il est parfois difficile et chronophage de collecter toutes les informations appartenant au patient dans les différents services où il a séjourné.
Le workflow Ges’dim : de la demande à la transmission
Identification du demandeur (patient, ayant droit, tuteur légal, médecin mandaté), vérification des pièces justificatives, et reprise automatique de l’identité patient via l’interface avec la GAM/GAP de l’établissement. Identitovigilance garantie.
Chaque Unité Fonctionnelle de l’établissement de santé détenant un dossier du patient est répertoriée dans Ges’dim. Le service concerné est automatiquement sollicité pour transmettre les informations détenues sur le patient.
Un tableau de bord permet de suivre en temps réel les demandes et le statut des collectes des informations médicales du patient, avec liste des documents collectés et synthèse des demandes. Les délais légaux (8 jours / 2 mois) sont intégrés nativement avec système d’alerte.
Ges’dim est implémenté directement dans le Système d’Information Hospitalier et aucune donnée ne transite par des serveurs externalisés. La solution prend en charge les cas particuliers : patient mineur, demande post-décès, soins psychiatriques, gestion des consentements spécifiques.
