Dans
son 16ème Rapport d'activité pour l'année 1995, la CNIL
précisait que les difficultés soulevées par le développement
des échanges d'informations sur l'Internet sont liées à l'absence
de confidentialité et à la liberté totale de circulation et
d'utilisation de l'information.
Aujourdhui,
la CNIL
(Commission Nationale de l'Informatique et des Libertés) fait
preuve, à l'égard de l'Internet médical (au sens large), d'un
esprit d'ouverture qui favorise l'implication des acteurs
et des professionnels de santé ainsi que le développement
d'applications à forte valeur ajoutée médico-économique.
Lenvironnement réglementaire
Les
essais cliniques en ligne ne peuvent pas être utilisés par
les laboratoires pour connaître les habitudes de prescription
des investigateurs. La loi de 1994 sur les avantages reçus
par les professions médicales (dite loi anti-cadeau) règlemente
les relations des laboratoires avec les médecins. Tout cadeau
ou privilège, quel quil soit, est strictement interdit.
La
CNIL a rendu en 1995 un avis illustrant cette législation
dans laffaire Pharmastat. Ce réseau, reliant 23 000
officines et animé par la Fédération des Syndicats Pharmaceutiques
de France, constituait le panel dune analyse statistique
des ordonnances traitées par les pharmaciens. Or, la société
chargée de gérer les données souhaitait vendre aux laboratoires
les habitudes de prescription des médecins de façon à ce quils
ajustent en conséquence leur stratégie en matière de visite
médicale. La CNIL sy est opposée, la jugeant contraire
à la loi de 1994 et Pharmastat sest engagé à ce que
le nom des prescripteurs ne soit pas identifiable.
Les
essais cliniques devront sintégrer dans lenvironnement
réglementaire existant. Ils ne pourront pas être utilisés
par les laboratoires pour orienter les prescriptions des investigateurs.
Les éventuels modules de FMC validante et outils daide
à la pratique médicale intégrés à lessai devront respecter
cette règle.
La procédure de droit commun
Lors
dun essai clinique traditionnel, le laboratoire promoteur
doit effectuer deux déclarations. La première est réalisée
auprès du Comité Consultatif sur le Traitement de lInformation
en matière de Recherche dans le domaine de la Santé (dépendant
du Ministère de lEducation Nationale, de la Recherche
et de la Technologie), qui juge la méthodologie de lessai.
Il dispose dun mois pour se prononcer.
La seconde est faite à la CNIL, qui étudie les différentes
procédures de sécurisation utilisées dans le programme. Elle
dispose dun délai de deux mois pour donner son accord.Cette
déclaration se justifie par le fait que les données des essais
sont indirectement nominatives. Lexistence
dune table de correspondance et dun traitement
automatisé des informations à partir dune base de données
comportant un numéro dordre pour chaque patient inclus
permet en effet de découvrir lidentité du patient.
La
réalisation dun essai en ligne nest pas soumise
à une réglementation différente. Le laboratoire doit effectuer
les deux déclarations classiques au Comité Consultatif et
à la CNIL. Les renseignements à fournir doivent toutefois
être le plus précis possible.
Ainsi
les procédures de sécurisation des accès et des échanges devront
être très clairement décrites dans le dossier. Par ailleurs,
si le procédé de cryptage choisi pour sécuriser les échanges
de données a déjà été approuvé par le SCSSI, le laboratoire
devra intégrer au dossier la feuille dagrément en question
(disponible auprès de lentreprise fournissant le procédé
de chiffrement). Dans le cas contraire, une déclaration au
SCSSI sur les procédés de cryptage utilisés devra être réalisée.
Une
procédure simplifiée de déclaration devrait être mise en place
au printemps 1998. Elle sera valable pour tous les essais,
quelle que soit leur phase, et facilitera la composition du
dossier de base. La double déclaration restera obligatoire,
mais le dossier saccompagnera dune liste des essais
en cours et à venir. Il permettra ainsi au laboratoire deffectuer
des déclarations et demandes dautorisation non plus
au cas par cas, mais une fois par an pour lensemble
de ses projets.
Un impératif : la sécurisation des échanges
La
position de la CNIL sur le transfert d'informations épidémiologiques
et médicalisées via l'Internet s'est récemment assouplie.
L'Agence nationale de recherche sur le sida, dont le rôle
est d'évaluer les traitements prescrits aux malades, a ainsi
soumis à la CNIL en 1996 deux projets de traitement qui prévoyaient
la transmission, par l'Internet, de données indirectement
nominatives à un centre unique de recherche situé à Londres.
Les
données, recueillies dans plusieurs centres de soins, sont
de divers types. Elles concernent le code pays, le numéro
du centre, le numéro d'ordre du patient dans l'essai, sa date
de naissance, son sexe ainsi que des données purement médicales.
Dans
les deux cas, c'est l'INSERM
qui avait la charge de transmettre les données.La CNIL a émis
un avis favorable sur ce projet en préconisant toutefois l'adoption
de strictes mesures de protection, notamment la dissociation
des différents accès aux bases de données.
La décision dAnnecy
En
1996, la CNIL a été saisie d'une demande d'avis du Centre
Hospitalier d'Annecy à propos d'un projet expérimental de
télémédecine via lInternet. Un système de boîtes aux
lettres géré par un tiers, filiale de France Telecom, assure
la communication entre des médecins de ville et certains services
hospitaliers. Ce projet, qui a pour but de faciliter la transmission
des dossiers médicaux et l'échange de messages entre confrères,
est le premier à prévoir léchange de données médicales
directement nominatives sur le réseau.
La
CNIL s'est penchée sur les garanties de sécurité : chaque
message transmis vers l'extérieur fait l'objet d'un traitement
par un algorithme de cryptage spécifique. De plus, de façon
à assurer le respect effectif du secret médical, le message
reste chiffré dans sa boîte aux lettres tant que le médecin
destinataire n'a pas décidé de louvrir.
Pour le lire, il doit frapper un code et un mot de passe personnel.
Le 24 juin dernier, la CNIL a rendu un avis favorable sur
le projet, après s'être assurée du sérieux des solutions de
sécurité proposées. Le modèle retenu correspond aux standards
du marché. Des projets évolués de gestion de l'information
médicale peuvent donc être développés à moindre coût et à
partir de technologies simples.
La décision dArmentières
La
CNIL a rendu un avis favorable, comme lors de la décision
dAnnecy, sur la création dun réseau dinformations
médicales et dun annuaire électronique des professionnels
de santé y participant, dans le cadre dun projet de
télémédecine instauré par le centre hospitalier dArmentières.
En avalisant ce projet, la Commission a donc clarifié le contexte
réglementaire et juridique du recueil électronique de données,
des dossiers partagés et de la télémédecine.
|