Les problèmes rencontrés
dans le domaine médical, l'exemple américain
En
avril 97, la Sécurité Sociale américaine (Social
Security Administration ou SSA) avait disposé sur son site un
service permettant aux assurés sociaux américains de suivre lensemble
des prestations reçues au cours de leur vie. Idée louable mais qui
fit bondir les Américains et les associations de défense des libertés
publiques, effrayées par les risques dintrusion dans ces dossiers,
véritables mines dinformations sur les individus (santé, retraite,
chômage, etc.). Il est vrai que, pour accéder aux dossiers personnels,
il suffisait dindiquer le nom dune personne, son numéro
de sécurité sociale ainsi que ses date et lieu de naissance. Sous
la pression, la SSA avait décidé de fermer son site pendant plusieurs
jours avant de retirer définitivement cette application.
A lépoque,
on avait appris que des employés indélicats de la Social Security
Administration avaient pas le passé vendu des informations nominatives
à des sociétés danalyse marketing. De linsouciante négligence
à lindélicatesse mercantile, les questions de protection de
la confidentialité posent aux structures sociales des questions
sur leur organisation et leur contrôle.
Faute
dun cadre défini et dune autorité administrative indépendante
chargée de contrôler ces questions, les acteurs américains adoptent
des démarches contradictoires, mêlant défense de la confidentialité
et intrusion dans la vie privée des individus. La SSA peut ainsi
poursuivre les personnes sétant livrées à une utilisation
frauduleuse de ses bases de données. Dans la législation américaine,
les peines encourues peuvent aller jusquà 10 ans de prisons
tandis que les amendes infligées aux indélicats montent jusquà
10 000 dollars (50 000 francs). Or, dans le même
temps, la SSA se donne le droit de suivre sur les réseaux informatiques
les assurés sociaux pour détecter déventuelles fraudes. Aucun
information nest donnée sur les technologies utilisées pour
ce faire ni sur les principes de ce pistage (qui le décide, pour
quelles raisons, avec quel contrôle ?).
En
fait, la confidentialité des données médicales dépasse la seule
protection des dossiers médicaux. Lorsquun internaute participe
sur un site Web à un quizz portant sur son risque cardiovasculaire,
il offre au gestionnaire du site une somme dinformations considérable
sur son état de santé. Même chose lorsquil commande des médicaments
en ligne ou participent à un forum de discussion sur lequel se livrent
dautres patients.
Aux
Etats-Unis, la loi sur la confidentialité des dossiers médicaux,
votée en 1995 (Medical
records confidentiality act), répond dans une large mesure au
risque de détournement des informations personnelles des patients,
même si les critiques
des associations de protection des libertés publiques se sont multipliées
à lencontre des manques observés dans ce texte de loi. Les
pouvoirs publics américains poursuivent dailleurs leur effort
dorganisation des systèmes dinformations médicaux. La
loi sur la portabilité et la responsabilité dans le domaine de lassurance
santé, votée en 1996 (Health
Insurance Portability and Accountability Act) oblige en effet
les industriels et les acteurs médicaux à définir ensemble des standards
dinteropérabilité et de protection des données confidentielles
dici 1999. Ce cadre juridique devrait mettre un terme aux
dérives observées dans le secteur santé aux Etats-Unis. La plus
médiatique dentre elles avait eu lieu en 1992, lorsque la
société SEPTA, qui assure elle-même ses salariés, avait demandé
à la chaîne de pharmacie Rite Aid de lui fournir le listing de tous
les employés dont les ordonnances sélevaient à plus de 100
dollars. En effet, la société SEPTA remboursait les factures médicales
de ses employés et sestimait en droit de connaître et de contrôler
la consommation de ses salariés. Cette démarche, pour le moins sujette
à caution, prit un caractère tragique lorsque la séroposivité dun
salarié, John Doe, fut découverte puis colportée par le contrôleur
de gestion de la société SEPTA. La société manipulait régulièrement
des informations sensibles sur ses employés mais navait instauré
aucune politique protégeant leur vie privée. John Doe porta plainte
mais le juge américain déclara quil nétait pas fondé
à empêcher ce type de communication dinformations et quil
ne disposait daucun recours juridique à cet égard. Les deux
sociétés avaient pourtant admis leur erreur, mais la cour a décidé
que le droit à la vie privée ne pouvait entrer en concurrence avec
la nécessité pour un employeur de maîtriser les dépenses. Laffaire
John Doe favorisa ladoption progressive dun nouveau
cadre juridique, plus favorable aux droits du patient, mais lépisode
révèle le chemin que la société américaine doit encore parcourir
pour atteindre les standards européens en matière de confidentialité.
Si la confidentialité des dossiers médicaux est maintenant assurée
peu ou prou, un effort global doit être entrepris pour étendre cette
confidentialité au Web ainsi quaux systèmes dinformations
des entreprises et des administrations. [cliquer
ici pour lire lhistoire complète]