BOURSE

La création des bases de données de santé à caractère personnel est encadrée par les dispositions de la loi informatique et libertés du 6 janvier 1978 (1) qui pose en principe que si " l'informatique doit être au service de chacun ", elle " (...) ne doit porter atteinte ni à l'identité humaine ni aux droits de l'Homme, ni à la vie privée, ni aux libertés individuelles ou publiques " (article 1er de la loi). Depuis sa publication, de nombreux textes législatifs et réglementaires, ainsi que la convention 108 du 28 janvier 1981 du Conseil de l'Europe, ont complété et modifié le dispositif d'origine. Mais ce sont, pour l'essentiel, les avis et les recommandations de la Commission Nationale Informatique et Libertés (CNIL) (2), organisme de contrôle instauré par cette loi, qui ont permis de cerner progressivement les règles qui s'imposent lorsqu'un traitement de données à caractère personnel doit être mis en œuvre sur l'Internet. Ainsi, dès 1997, préoccupée par les questions soulevées par " la mise en place de réseaux de transmission d'informations médicales nominatives entre des partenaires variés (médecins, caisses de sécurité sociale, organismes de recherche médicale…) ", la CNIL a adopté " une recommandation de portée générale sur le traitement des données de santé à caractère personnel " (3). A ce titre, elle exige que des mesures de sécurité renforcées soient prises (4), notamment le recours au chiffrement au moyen d'un algorithme de cryptage autorisé par le SCSSI (5) et la mise en œuvre d'un dispositif de filtrage des accès (firewall). Par ailleurs, elle interdit formellement l'utilisation des données de prescription à des fins commerciales si ces informations permettent l'identification des personnes. Enfin, elle exige que les professionnels de santé garantissent l'anonymat des patients lors de transmissions de données vers un système d'information médicale. La directive européenne du 24 octobre 1995 concernant les données à caractère personnel s'emploie à harmoniser les législations afin d'établir " une protection équivalente de haut niveau dans tous les Etats membres de la Communauté afin d'éliminer les obstacles aux échanges de données nécessaires au fonctionnement du marché intérieur ". Elle est actuellement en cours de transposition en droit français et, selon les informations communiquées par notre Premier ministre, l'avant-projet de loi préparé par la ministre de la Justice, Madame Elisabeth Guigou, sera prochainement transmis pour avis à la CNIL ainsi qu'à la Commission nationale consultative des droits de l'homme. En attendant, l'examen de cette directive conduit à constater que le niveau de protection proposé est tout à fait comparable à celui de la loi du 6 janvier 1998, s'appuyant sur des principes que l'on retrouve d'ailleurs dans de nombreuses autres législations nationales ainsi que dans divers textes internationaux, comme ceux du Conseil de l'Europe, de l'OCDE ou des Nations Unies. Aussi, l'exploitant d'un fichier de données de santé à caractère personnel est tenu de respecter toute une série de contraintes comme, par exemple, la loyauté dans la collecte, l'obligation d'information préalable des personnes, le respect des droits d'accès, de communication, d'opposition et de rectification dont bénéficient les intéressés.

Christiane Féral-Schuhl