Quelle réforme pour les traitements
de données médicales nominatives ?

Ariane Mole - Avocat
ALAIN BENSOUSSAN-AVOCATS

19 novembre 2001
1/2

Le Gouvernement a rendu public, le 24 juillet dernier, un projet de loi modifiant la loi Informatique et Libertés, afin de transposer la directive communautaire du 24 octobre 1995 relative à la protection des données à caractère personnel. Ce projet de loi a été transmis au Parlement et fera vraisemblablement l'objet d'un vote et d'une promulgation au cours de l'année 2002. Il contient plusieurs dispositions susceptibles de réformer le cadre légal et réglementaire actuel du traitement des données médicales nominatives.

Collecte de données de santé : le consentement sera nécessaire

La Loi Informatique et libertés actuelle prévoit une liste de données sensibles dont la collecte et le traitement sont interdits sauf consentement exprès des personnes. Elles concernent aujourd'hui la race, l'ethnie, les opinions politiques religieuses et philosophiques, l'appartenance syndicale, et les mœurs.
La nouveauté introduite par la transposition de la directive communautaire et le projet de loi dans son article 8 est d'instituer un régime particulier relatif au traitement des données de santé, celles-ci seront dorénavant considérées comme des données sensibles interdites, sauf consentement des personnes.

Une exception est toutefois prévue au profit des professionnels de santé, mais uniquement pour les traitements qui sont "nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soin ou de traitement, ou de la gestion des services de santé et qui sont mis en œuvre par un membre d'une profession de santé, ou par une autre personne à laquelle s'impose, en raison de ses fonctions, l'obligation de secret professionnel prévue par l'article 226-13 du Code pénal". Dans les autres cas il conviendra, en principe, de prévoir une formule de consentement, après le vote de la nouvelle loi.

Les nouvelles demandes d'autorisation à effectuer auprès de la CNIL

En l'état du dispositif légal et réglementaire actuel, aucune informatisation de données sur les patients, qu'elles soient directement nominatives ou chaînées, ne peut s'effectuer légalement sans déclaration préalable auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés).

Mais les fichiers de recherche en matière de santé d'une part, et les fichiers d'évaluation des pratiques de soin d'autre part, sont encadrés par deux chapitres spécifiques, qui ont été ajoutés à la loi Informatique et libertés (relative au traitement des données nominatives ayant pour fins la recherche dans le domaine de la santé, et portant création d'une couverture maladie universelle).

Concernant les fichiers de recherche en matière de santé, la procédure spécifique repose sur deux demandes. L'une permet de recueillir un avis auprès d'un comité consultatif institué auprès du ministre chargé de la recherche, l'autre est une demande d'autorisation adressée à la CNIL qui dispose alors d'un délai de deux mois, renouvelable une seule fois, pour se prononcer. Si au terme de ce délai aucune décision n'est parvenu, le traitement de données est considéré comme autorisé.

Concernant les fichiers en matière d'évaluation de pratique de soin, une demande d'autorisation doit également être soumise à la CNIL, par le responsable du traitement, l'autorisation de la CNIL dans ce cas doit être expresse. Autrement dit cette fois si la CNIL n'a pas fait connaître sa décision dans un délai de deux mois, également renouvelable une seule fois, la demande d'autorisation est réputée être rejetée.

Le projet de loi prévoit une uniformisation de la procédure qui devra être respectée par les responsables de traitement.
En effet, une autorisation expresse de la CNIL devra intervenir préalablement à la mise en œuvre des fichiers, au déroulement d'une recherche en matière de santé, ou à l'initiation d'une activité d'évaluation des pratiques de soin.

Dans ce dernier cas, il convient de rappeler que le dispositif légal en vigueur est le suivant :

• les données issues des systèmes d'information hospitaliers, les dossiers médicaux détenus par les médecins libéraux, ou encore des systèmes d'information des caisses d'assurance maladie, "ne peuvent être communiqués à des fins statistiques d'évaluation ou d'analyse des pratiques et des activités de soin et de prévention que sous la forme de statistiques agrégées ou de données par patient constitué de telle sorte que les personnes concernées ne puissent être identifiées (Article 40-12 de la loi 78-17 du 6 janvier 1978).
• il ne peut être dérogé à ces dispositions que sur autorisation de la CNIL
• même dans ce cas, la loi dispose que les données utilisées ne doivent comporter ni le nom, ni le prénom des personnes, ni leur numéro d'inscription au répertoire national d'identification des personnes physiques.

Seuls les traitements de données personnelles effectuées par les organismes d'assurance maladie à des fins de remboursement ou de contrôle, ou encore par les établissements de santé pour l'analyse de leur activité, sont exonérés du champ d'application de ces nouvelles dispositions.

Sous réserve de ces cas particuliers, la loi informatique et libertés actuelle, et future, limite, par conséquent, les conditions dans lesquelles les données de santé peuvent être fournies par les professionnels de santé, les hôpitaux ou les caisses de sécurité sociale, pour être exploitées à des fins d'analyse et d'évaluation des activités et des pratiques de soin, en particulier pour l'évaluation des dépenses de santé et la maîtrise de frais médicaux, à l'occasion notamment de la mise en place de réseaux de soin expérimentaux.

Suite et fin