Quelle
réforme pour les traitements
de données médicales nominatives ?
Ariane
Mole - Avocat
ALAIN BENSOUSSAN-AVOCATS
19 novembre 2001
1/2
Le
Gouvernement a rendu public, le 24 juillet dernier, un projet de
loi modifiant la loi Informatique et Libertés, afin de transposer
la directive communautaire du 24 octobre 1995 relative à
la protection des données à caractère personnel.
Ce projet de loi a été transmis au Parlement et fera
vraisemblablement l'objet d'un vote et d'une promulgation au cours
de l'année 2002. Il contient plusieurs dispositions susceptibles
de réformer le cadre légal et réglementaire
actuel du traitement des données médicales nominatives.
Collecte de données de santé : le consentement sera
nécessaire
La
Loi Informatique et libertés actuelle prévoit une
liste de données sensibles dont la collecte et le traitement
sont interdits sauf consentement exprès des personnes. Elles
concernent aujourd'hui la race, l'ethnie, les opinions politiques
religieuses et philosophiques, l'appartenance syndicale, et les
murs.
La nouveauté introduite par la transposition de la directive
communautaire et le projet de loi dans son article 8 est d'instituer
un régime particulier relatif au traitement des données
de santé, celles-ci seront dorénavant considérées
comme des données sensibles interdites, sauf consentement
des personnes.
Une
exception est toutefois prévue au profit des professionnels
de santé, mais uniquement pour les traitements qui sont "nécessaires
aux fins de la médecine préventive, des diagnostics
médicaux, de l'administration de soin ou de traitement, ou
de la gestion des services de santé et qui sont mis en uvre
par un membre d'une profession de santé, ou par une autre
personne à laquelle s'impose, en raison de ses fonctions,
l'obligation de secret professionnel prévue par l'article
226-13 du Code pénal". Dans les autres cas il conviendra,
en principe, de prévoir une formule de consentement, après
le vote de la nouvelle loi.
Les nouvelles demandes d'autorisation à effectuer auprès
de la CNIL
En
l'état du dispositif légal et réglementaire
actuel, aucune informatisation de données sur les patients,
qu'elles soient directement nominatives ou chaînées,
ne peut s'effectuer légalement sans déclaration préalable
auprès de la CNIL (Commission Nationale de l'Informatique
et des Libertés).
Mais
les fichiers de recherche en matière de santé d'une
part, et les fichiers d'évaluation des pratiques de soin
d'autre part, sont encadrés par deux chapitres spécifiques,
qui ont été ajoutés à la loi Informatique
et libertés (relative au traitement des données nominatives
ayant pour fins la recherche dans le domaine de la santé,
et portant création d'une couverture maladie universelle).
Concernant
les fichiers de recherche en matière de santé, la
procédure spécifique repose sur deux demandes. L'une
permet de recueillir un avis auprès d'un comité consultatif
institué auprès du ministre chargé de la recherche,
l'autre est une demande d'autorisation adressée à
la CNIL qui dispose alors d'un délai de deux mois, renouvelable
une seule fois, pour se prononcer. Si au terme de ce délai
aucune décision n'est parvenu, le traitement de données
est considéré comme autorisé.
Concernant
les fichiers en matière d'évaluation de pratique de
soin, une demande d'autorisation doit également être
soumise à la CNIL, par le responsable du traitement, l'autorisation
de la CNIL dans ce cas doit être expresse. Autrement dit cette
fois si la CNIL n'a pas fait connaître sa décision
dans un délai de deux mois, également renouvelable
une seule fois, la demande d'autorisation est réputée
être rejetée.
Le
projet de loi prévoit une uniformisation de la procédure
qui devra être respectée par les responsables de traitement.
En effet, une autorisation expresse de la CNIL devra intervenir
préalablement à la mise en uvre des fichiers,
au déroulement d'une recherche en matière de santé,
ou à l'initiation d'une activité d'évaluation
des pratiques de soin.
Dans
ce dernier cas, il convient de rappeler que le dispositif légal
en vigueur est le suivant :
- les données
issues des systèmes d'information hospitaliers, les dossiers
médicaux détenus par les médecins libéraux,
ou encore des systèmes d'information des caisses d'assurance
maladie, "ne peuvent être communiqués à
des fins statistiques d'évaluation ou d'analyse des pratiques
et des activités de soin et de prévention que sous
la forme de statistiques agrégées ou de données
par patient constitué de telle sorte que les personnes
concernées ne puissent être identifiées (Article
40-12 de la loi 78-17 du 6 janvier 1978).
- il ne peut
être dérogé à ces dispositions que
sur autorisation de la CNIL
- même
dans ce cas, la loi dispose que les données utilisées
ne doivent comporter ni le nom, ni le prénom des personnes,
ni leur numéro d'inscription au répertoire national
d'identification des personnes physiques.
Seuls
les traitements de données personnelles effectuées
par les organismes d'assurance maladie à des fins de remboursement
ou de contrôle, ou encore par les établissements de
santé pour l'analyse de leur activité, sont exonérés
du champ d'application de ces nouvelles dispositions.
Sous
réserve de ces cas particuliers, la loi informatique et libertés
actuelle, et future, limite, par conséquent, les conditions
dans lesquelles les données de santé peuvent être
fournies par les professionnels de santé, les hôpitaux
ou les caisses de sécurité sociale, pour être
exploitées à des fins d'analyse et d'évaluation
des activités et des pratiques de soin, en particulier pour
l'évaluation des dépenses de santé et la maîtrise
de frais médicaux, à l'occasion notamment de la mise
en place de réseaux de soin expérimentaux.
Suite
et fin
|