Tout d'abord, il est important de rappeler que les données relatives à la santé physique ou mentale d'une personne ou aux soins qui lui sont prodigués ne sont pas des informations personnelles anodines. Il s'agit de données à caractère personnel de santé. Les dispositions réglementaires qui concernent l'échange entre professionnels de ces données de santé sont encadrées par plusieurs textes (cf. références ci-dessous).
Le 1er et principal, est l'article 1110-4 du Code de la santé publique qui stipule que sauf opposition expresse du patient, les professionnels de santé qui participent aux soins d'un patient peuvent échanger les données le concernant. Les professionnels de santé seront néanmoins tenus responsables en cas de perte ou de divulgation d'informations s'ils n'ont pas mis en œuvre les moyens techniques ou organisationnels nécessaires pour protéger les données de santé de leurs patients.

La CNIL (Commission nationale de l'informatique et des libertés) est une autorité administrative indépendante créée par la Loi Informatique et Libertés du 6 janvier 1978 (LIL). Elle est l'organisme français chargé de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers aussi bien publics que privés.
Cet organisme héberge une page Internet spécifiquement dédiée aux professionnels de santé afin de les accompagner sur les questions relatives aux données à caractère personnel de santé. Ces informations sont accessibles au lien suivant : https://www.cnil.fr/fr/sante

Aussi, l'arrivée du nouveau Réglement Européen sur la Protection des données (RGPD) vient modifier sensiblement la LIL du 6 janvier 1978 en introduisant notamment des sanctions plus lourdes qu'auparavant en cas de manquement aux obligations de protection des données. Les amendes peuvent dorénavant s'élever à 20 000 000 euros ou, pour une entreprise, à 4 % du CA mondial total de l'exercice précédent. Le montant des peines encourues sera variable selon la nature, la gravité et la durée de la violation et compte tenu de la portée du dommage subi et du nombre de personnes concernées.
Cette nouvelle loi donne, par ailleurs, plus de missions à la CNIL et un pouvoir de contrôle accru en matière de protection des données. Les valeurs morales portées, depuis 20 ans par l'association, qui ont été ultérieurement complétées par l'ensemble de ces textes n'ont pas été aussi productives qu'attendu, voire même plutôt contraignantes.

Références :

• Code civil : Article 9
• Code pénal : Articles 226-16 et 226-13
• Code de la santé publique : Article L1110-4
• CNIL : Loi du 6 janvier 1978
• Code de la déontologie médicale
• Article R.4127-4 du CSP
• Article R.4127-72 du CSP
• Article 73 R.4127-73 du CSP
• Règlement n° 2016/679 dit Réglement Général sur la Protection des Données ou RGPD