 |
|
|
|
|
|
33,
rue Raffet |
|
La confidentialité en toute transparence 28 avril
1999
En avril 97, la Sécurité Sociale américaine (Social Security Administration ou SSA) avait disposé sur son site un service permettant aux assurés sociaux américains de suivre l’ensemble des prestations reçues au cours de leur vie. Idée louable mais qui fit bondir les Américains et les associations de défense des libertés publiques, effrayées par les risques d’intrusion dans ces dossiers, véritables mines d’informations sur les individus (santé, retraite, chômage, etc.). Il est vrai que, pour accéder aux dossiers personnels, il suffisait d’indiquer le nom d’une personne, son numéro de sécurité sociale ainsi que ses date et lieu de naissance. Sous la pression, la SSA avait décidé de fermer son site pendant plusieurs jours avant de retirer définitivement cette application. A l’époque, on avait appris que des employés indélicats de la Social Security Administration avaient pas le passé vendu des informations nominatives à des sociétés d’analyse marketing. De l’insouciante négligence à l’indélicatesse mercantile, les questions de protection de la confidentialité posent aux structures sociales des questions sur leur organisation et leur contrôle. Faute d’un cadre défini et d’une autorité administrative indépendante chargée de contrôler ces questions, les acteurs américains adoptent des démarches contradictoires, mêlant défense de la confidentialité et intrusion dans la vie privée des individus. La SSA peut ainsi poursuivre les personnes s’étant livrées à une utilisation frauduleuse de ses bases de données. Dans la législation américaine, les peines encourues peuvent aller jusqu’à 10 ans de prisons tandis que les amendes infligées aux indélicats montent jusqu’à 10 000 dollars (50 000 francs). Or, dans le même temps, la SSA se donne le droit de suivre sur les réseaux informatiques les assurés sociaux pour détecter d’éventuelles fraudes. Aucun information n’est donnée sur les technologies utilisées pour ce faire ni sur les principes de ce pistage (qui le décide, pour quelles raisons, avec quel contrôle ?). En fait, la confidentialité des données médicales dépasse la seule protection des dossiers médicaux. Lorsqu’un internaute participe sur un site Web à un quizz portant sur son risque cardiovasculaire, il offre au gestionnaire du site une somme d’informations considérable sur son état de santé. Même chose lorsqu’il commande des médicaments en ligne ou participent à un forum de discussion sur lequel se livrent d’autres patients. Aux Etats-Unis, la loi sur la confidentialité des dossiers médicaux, votée en 1995 (Medical records confidentiality act), répond dans une large mesure au risque de détournement des informations personnelles des patients, même si les critiques des associations de protection des libertés publiques se sont multipliées à l’encontre des manques observés dans ce texte de loi. Les pouvoirs publics américains poursuivent d’ailleurs leur effort d’organisation des systèmes d’informations médicaux. La loi sur la portabilité et la responsabilité dans le domaine de l’assurance santé, votée en 1996 (Health Insurance Portability and Accountability Act) oblige en effet les industriels et les acteurs médicaux à définir ensemble des standards d’interopérabilité et de protection des données confidentielles d’ici 1999. Ce cadre juridique devrait mettre un terme aux dérives observées dans le secteur santé aux Etats-Unis. La plus médiatique d’entre elles avait eu lieu en 1992, lorsque la société SEPTA, qui assure elle-même ses salariés, avait demandé à la chaîne de pharmacie Rite Aid de lui fournir le listing de tous les employés dont les ordonnances s’élevaient à plus de 100 dollars. En effet, la société SEPTA remboursait les factures médicales de ses employés et s’estimait en droit de connaître et de contrôler la consommation de ses salariés. Cette démarche, pour le moins sujette à caution, prit un caractère tragique lorsque la séroposivité d’un salarié, John Doe, fut découverte puis colportée par le contrôleur de gestion de la société SEPTA. La société manipulait régulièrement des informations sensibles sur ses employés mais n’avait instauré aucune politique protégeant leur vie privée. John Doe porta plainte mais le juge américain déclara qu’il n’était pas fondé à empêcher ce type de communication d’informations et qu’il ne disposait d’aucun recours juridique à cet égard. Les deux sociétés avaient pourtant admis leur erreur, mais la cour a décidé que le droit à la vie privée ne pouvait entrer en concurrence avec la nécessité pour un employeur de maîtriser les dépenses. L’affaire John Doe favorisa l’adoption progressive d’un nouveau cadre juridique, plus favorable aux droits du patient, mais l’épisode révèle le chemin que la société américaine doit encore parcourir pour atteindre les standards européens en matière de confidentialité. Si la confidentialité des dossiers médicaux est maintenant assurée peu ou prou, un effort global doit être entrepris pour étendre cette confidentialité au Web ainsi qu’aux systèmes d’informations des entreprises et des administrations. [cliquer ici pour lire l’histoire complète]
28 avril 1999 |
|
|
|||||||||||||||||||||||||||||||||
| Copyright © Medcost 2005 - Tous droits réservés. | |||||||||||||||||||||||||||||||||||
Les problèmes rencontrés
dans le domaine médical, l'exemple américain 
6
novembre 2002