Article (COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTES (CNIL) Délibération no 97-008 du 4 février 1997 portant adoption d'une recommandation sur le traitement des données de santé à caractère personnel)
La commission estime qu'il y a lieu de rappeler que :
- conformément aux articles 226-13 et 224-14 du code pénal, la révélation d'informations à caractère secret par une personne qui en est dépositaire,
soit par état soit par profession, hormis les cas où la loi l'impose ou l'autorise, est passible de sanctions pénales ;
- en application de l'article L. 365-2 du code de la santé publique, sont interdites, sous peine de sanctions pénales, « la constitution et l'utilisation à des fins de prospection ou de promotion commerciales de fichiers composés à partir de données issues directement ou indirectement des prescriptions médicales ou des informations médicales mentionnées à l'article L. 161-29 du code de la sécurité sociale, dès lors que ces fichiers permettent d'identifier directement ou indirectement le professionnel prescripteur » ;
- conformément à l'article L. 365-1 du code de la santé publique, « est interdit le fait, pour les membres des professions médicales, de recevoir des avantages en nature ou en espèces, sous quelque forme que ce soit, d'une façon directe ou indirecte, procurés par des entreprises assurant des prestations, produisant ou commercialisant des produits pris en charge par les régimes obligatoires de sécurité sociale » ;
- aux termes de l'article 25 de la loi du 6 janvier 1978, la collecte de données opérée par tout moyen frauduleux, déloyal ou illicite est interdite ; La commission considère que, au sens de l'article 5 de la convention no 108 du Conseil de l'Europe, le traitement de données de santé à caractère personnel est légitime dès lors qu'il a pour finalités de permettre au professionnel de santé de mieux assurer le suivi médical des patients, de faciliter leur prise en charge par les organismes d'assurance maladie obligatoire, de participer aux actions de prévention et de veille sanitaire poursuivies par les autorités de santé et de contribuer aux travaux de recherche médicale. Dans le cadre de ces finalités, les données de santé à caractère personnel, dont l'usage est en principe réservé au professionnel de santé qui a procédé au recueil de ces données, peuvent être communiquées sous certaines conditions à des destinataires et tiers habilités à en connaître en vertu de la loi ;
Les professionnels de santé sont ainsi tenus (art. 226-14 du code pénal,
art. L. 11 et suivants du code de la santé publique...) de déclarer aux autorités judiciaires, médicales ou administratives certaines situations dont ils ont connaissance ;
En outre, conformément au code de la sécurité sociale et notamment à l'article L. 161-29, dans l'intérêt de la santé publique et en vue de contribuer à la maîtrise des dépenses d'assurance maladie, les professionnels et les organismes ou établissements dispensant des actes ou prestations remboursables par l'assurance maladie à des assurés sociaux ou leurs ayants droit sont tenus de communiquer aux organismes d'assurance maladie concernés le numéro de code des actes effectués, des prestations servies à ces assurés sociaux et à leurs ayants droit et des pathologies diagnostiquées ;
Ces données sont également susceptibles d'être communiquées, sous forme anonyme, aux unions professionnelles instituées par la loi du 18 janvier 1994 ;
Les professionnels de santé peuvent également transmettre à des fins statistiques, dans les conditions prévues par la loi du 1er juillet 1994, des données médicales nominatives issues de leur activité à des organismes autorisés à mettre en oeuvre, à des fins de recherche médicale, des traitements de données de santé à caractère personnel ;
Enfin, conformément à l'article 45 du code de déontologie médicale, le médecin, à la demande du patient ou avec son consentement, peut transmettre aux médecins qui participent à la prise en charge de ce patient, ou à ceux qu'il entend consulter, les informations et documents utiles à la continuité des soins ;
La commission rappelle en conséquence que :
- hors les cas prévus par la loi, les professionnels de santé ne peuvent transmettre à des tiers les données de santé à caractère personnel relatives à leurs patients, sans qu'au préalable ces données aient été rendues anonymes ;
- conformément à l'article L. 365-2 du code de la santé publique et à l'application qu'entend en faire le ministère en charge de la santé, ces données, même rendues anonymes à l'égard des patients, ne peuvent être utilisées à des fins de promotion ou de prospection commerciale, dès lors qu'elles sont associées à l'identification du professionnel de santé ;
La commission recommande que, conformément aux articles L. 462 et L. 365-1 du code de la santé publique, les instances ordinales concernées soient consultées lors de la mise en place de systèmes d'informations médicales, en particulier sur les modalités de participation des professionnels de santé ; Sur l'information et le respect des droits des personnes :
La commission recommande que les professionnels de santé susceptibles de participer à des systèmes d'informations médicales et de transmettre sous quelque forme que ce soit des données soient clairement informés de l'identité du (ou des) organisme(s) juridiquement responsable(s) du système, de ses finalités, des conséquences à leur égard de leur participation, des destinataires des informations transmises, des modalités d'exercice de leur droit d'accès, de rectification et de suppression. Dans les cas où l'organisme tiers mettrait à la disposition du professionnel de santé des moyens informatiques lui permettant de gérer ses dossiers médicaux, il importe que les modalités de cette mise à disposition lui soient clairement précisées et qu'il conserve, quelles que soient les modalités de communication des informations issues de son fichier, la maîtrise de cette communication ;
Ainsi, en cas d'abandon de collaboration, l'organisme tiers devrait s'engager à fournir au professionnel de santé les moyens nécessaires pour lui permettre de continuer à gérer sur informatique ses dossiers médicaux ou d'effacer les informations nominatives enregistrées avant restitution du matériel informatique à l'organisme ;
La commission estime également que, pour garantir une information claire et complète des professionnels de santé, il importe que les contrats conclus entre les organismes tiers et les professionnels de santé fassent expressément mention des points précités ;
Elle recommande également que, nonobstant les dispositions prises pour assurer l'anonymat des patients, les organismes tiers destinataires des informations issues des fichiers médicaux s'engagent vis-à-vis des professionnels de santé à prendre toutes précautions utiles afin d'éviter la déformation, la divulgation ou l'utilisation détournée des données issues directement ou non des prescriptions médicales, dès lors que ces données permettent l'identification des professionnels de santé. De plus, il importe de rappeler que les professionnels de santé ne peuvent transmettre que des données concernant leur propre activité, à l'exclusion donc de toute information concernant ou provenant d'un autre confrère ou d'un autre professionnel de santé ;
Il convient en outre de rappeler que, dans les cas où la loi impose ou autorise la transmission des données médicales directement ou indirectement nominatives concernant leurs patients à des organismes tiers dûment habilités à en connaître, les professionnels de santé doivent en informer leurs patients de façon à ce qu'ils puissent exercer les droits qui leur sont reconnus par la loi du 6 janvier 1978. Ainsi, hors les cas où la transmission est imposée par la loi, les patients doivent pouvoir s'opposer aux communications d'informations les concernant ;
Sur le respect de la confidentialité des informations et la sécurité des
traitements :
La commission estime qu'il y a lieu de rappeler qu'en application des articles 29 et 45, alinéa 1, de la loi du 6 janvier 1978, les professionnels de santé s'engagent, vis-à-vis des patients, à prendre toutes précautions utiles afin de préserver la sécurité des informations relatives à leur état de santé, et notamment d'empêcher qu'elles ne soient déformées ou communiquées à des tiers non autorisés. Le non-respect de cette disposition est passible des sanctions pénales prévues au titre de l'article 226-17 du code pénal. Enfin, il convient de noter qu'en vertu de l'article 45 du décret du 6 septembre 1995, portant code de déontologie médicale, les dossiers médicaux des patients doivent être conservés sous la responsabilité des médecins qui en assurent le suivi ;
La commission recommande donc que, préalablement à toute transmission, aux systèmes d'information médicale précédemment visés, de données issues de leur activité, les professionnels de santé s'assurent du respect effectif de l'anonymat des données relatives à leurs patients et que les organismes tiers, destinataires des données, s'engagent, par voie contractuelle,
vis-à-vis des professionnels de santé, à prendre les dispositions nécessaires pour garantir et maintenir cet anonymat, notamment lors du traitement ultérieur de ces données. Ainsi, en cas de télétransmission, les professionnels de santé doivent pouvoir disposer des moyens techniques nécessaires pour vérifier ou faire vérifier que les dispositifs adoptés garantissent effectivement l'anonymat des données concernant les patients ;
La commission rappelle qu'elle peut, dans le cadre des missions de contrôle qui lui sont confiées par l'article 21 (2o) de la loi du 6 janvier 1978,
procéder, à l'égard de tout traitement, à des vérifications sur place et se faire communiquer tous renseignements et documents utiles à sa mission ;
Par ailleurs, il importe que, dans les cas où il serait nécessaire pour l'organisme tiers de disposer, à des fins statistiques, de données de suivi individualisées (1) sur les patients, des procédures d'anonymisation reconnues et évaluées, reposant par exemple sur l'utilisation de techniques dites de « hachage » ou de chiffrement des données, puissent être retenues ;
La commission préconise que, dans le cadre de l'expérimentation de filières ou de réseaux de soins faisant appel à des moyens informatiques, les transmissions de données nominatives éventuellement effectuées entre professionnels de santé soient réalisées dans des conditions garantissant de façon effective la confidentialité des données, et qu'en particulier il puisse être recouru, selon la sensibilité des données, au chiffrement de tout ou partie des données, dans le cadre de la réglementation française et européenne en vigueur ;
Elle appelle également l'attention des professionnels de santé, de leurs instances représentatives, et de façon générale des partenaires intéressés,
sur les risques de divulgation et d'utilisation détournée des informations,
inhérents à l'utilisation de réseaux de communication ouverts de type Internet, et sur la nécessité de prendre des mesures de sécurité appropriées pour, d'une part, protéger les données nominatives par le chiffrement de celles-ci, et, d'autre part, en cas de réseau privé, restreindre effectivement l'accès de ce dernier aux seuls utilisateurs habilités et éviter tout accès incontrôlé sur le réseau ou une connexion à un réseau ouvert ;
Enfin, la commission préconise que, dans le domaine de la santé, seules des messageries professionnelles sécurisées et recourant au chiffrement des données puissent être utilisées pour transférer des données médicales nominatives ;
La commission décide qu'il y a lieu en conséquence d'appeler l'attention tant des pouvoirs publics que des professionnels de santé et organismes intéressés sur les points précédemment évoqués.