Ces deux recommandations rappellent
que "les données de santé à caractère
personnel ne peuvent être utilisées que dans l’intérêt
direct du patient et à des fins de santé publique,
dans les conditions définies par la loi". Dans ce contexte,
la CNIL rappelle que les données de santé, qu’elles
soient communiquées par les personnes concernées ou
par les professionnels de santé, ne devraient pas faire l’objet
d’une exploitation commerciale ou d’une communication à des
tiers dans une perspective de prospection commerciale.
Ces principes s’appliquent, selon
la CNIL, non seulement aux éditeurs de sites, mais également
aux " sociétés et organismes susceptibles
de gérer et de conserver, pour le compte de professionnels
de santé ou d’établissements de santé, des
dossiers médicaux accessibles sur Internet ".
La CNIL précise en outre,
et c’est là la traduction essentielle de la responsabilité
particulière des hébergeurs de données de santé,
que des mesures de sécurité spécifiques devront
être mises en œuvre, notamment "procédés
de chiffrement", "journalisations des connexions",
et "portées à la connaissance de la CNIL lors
de l’accomplissement des formalités préalables".
La CNIL interpelle enfin le législateur
sur la nécessité de prévoir un agrément
des sociétés de services chargées d’assurer
l’hébergement des dossiers de santé.
Le métier d’hébergeur
de données de santé n’est donc pas un métier
comme les autres : en tant que "conservateur" de
données sensibles, ils doivent être en mesure de s’engager
à fournir des prestations d’hébergement présentant
des niveaux de sécurité spécifiques, sur lesquels
la CNIL portera une attention plus particulière dans le cadre
de la mise en œuvre des formalités préalables.
A cet effet, rappelons que les formalités
préalables à respecter au titre de la mise en œuvre
de traitements de données de santé, varient en fonction
du cadre dans lequel ces données sont collectées :
- demande d’autorisation implicite pour les fichiers
de recherche en santé (essai clinique),
- demande d’autorisation expresse pour les fichiers
d’évaluation des pratiques de soins (réseaux de
soins, notamment),
- déclaration préalable pour les
autres fichiers en matière de santé.
Dans tous les cas, l’assistance
du prestataire d’hébergement sera nécessaire au titre
de la description minutieuse des mesures de sécurité
physique et logique engagées.
Le projet de loi de réforme
de la loi "Informatiques, fichiers et libertés"
déposé il y a quelques semaines, mais qui n’a pas
encore été discuté, contient enfin des dispositions
organisant :
- l’attribution de pouvoirs de sanction pécuniaire
à la CNIL, tel que cela est déjà le cas pour
d’autres autorités administratives indépendantes
telles que le Conseil de la Concurrence ou la COB,
- la légalisation de l’exigence du recueil
du consentement exprès des personnes concernées
au traitement de données de santé, en tant que données
sensibles,
- la généralisation de la procédure
d’autorisation pour tous les fichiers contenant des données
de santé.
La tendance est donc plutôt
à un renforcement des contrôles sur les opérateurs
en charge de la gestion de fichiers de santé, et plus particulièrement
des hébergeurs.