|
Dans
son 16ème Rapport d'activité pour l'année 1995, la CNIL
précisait que “les difficultés soulevées par le développement
des échanges d'informations sur l'Internet sont liées à l'absence
de confidentialité et à la liberté totale de circulation et
d'utilisation de l'information”.
Aujourd’hui,
la CNIL
(Commission Nationale de l'Informatique et des Libertés) fait
preuve, à l'égard de l'Internet médical (au sens large), d'un
esprit d'ouverture qui favorise l'implication des acteurs
et des professionnels de santé ainsi que le développement
d'applications à forte valeur ajoutée médico-économique.
L’environnement réglementaire
Les
essais cliniques en ligne ne peuvent pas être utilisés par
les laboratoires pour connaître les habitudes de prescription
des investigateurs. La loi de 1994 sur les avantages reçus
par les professions médicales (dite loi anti-cadeau) règlemente
les relations des laboratoires avec les médecins. Tout cadeau
ou privilège, quel qu’il soit, est strictement interdit.
La
CNIL a rendu en 1995 un avis illustrant cette législation
dans l’affaire Pharmastat. Ce réseau, reliant 23 000
officines et animé par la Fédération des Syndicats Pharmaceutiques
de France, constituait le panel d’une analyse statistique
des ordonnances traitées par les pharmaciens. Or, la société
chargée de gérer les données souhaitait vendre aux laboratoires
les habitudes de prescription des médecins de façon à ce qu’ils
ajustent en conséquence leur stratégie en matière de visite
médicale. La CNIL s’y est opposée, la jugeant contraire
à la loi de 1994 et Pharmastat s’est engagé à ce que
le nom des prescripteurs ne soit pas identifiable.
Les
essais cliniques devront s’intégrer dans l’environnement
réglementaire existant. Ils ne pourront pas être utilisés
par les laboratoires pour orienter les prescriptions des investigateurs.
Les éventuels modules de FMC validante et outils d’aide
à la pratique médicale intégrés à l’essai devront respecter
cette règle.
La procédure de droit commun
Lors
d’un essai clinique traditionnel, le laboratoire promoteur
doit effectuer deux déclarations. La première est réalisée
auprès du Comité Consultatif sur le Traitement de l’Information
en matière de Recherche dans le domaine de la Santé (dépendant
du Ministère de l’Education Nationale, de la Recherche
et de la Technologie), qui juge la méthodologie de l’essai.
Il dispose d’un mois pour se prononcer.
La seconde est faite à la CNIL, qui étudie les différentes
procédures de sécurisation utilisées dans le programme. Elle
dispose d’un délai de deux mois pour donner son accord.Cette
déclaration se justifie par le fait que les données des essais
sont “indirectement nominatives”. L’existence
d’une table de correspondance et d’un traitement
automatisé des informations à partir d’une base de données
comportant un numéro d’ordre pour chaque patient inclus
permet en effet de découvrir l’identité du patient.
La
réalisation d’un essai en ligne n’est pas soumise
à une réglementation différente. Le laboratoire doit effectuer
les deux déclarations classiques au Comité Consultatif et
à la CNIL. Les renseignements à fournir doivent toutefois
être le plus précis possible.
Ainsi
les procédures de sécurisation des accès et des échanges devront
être très clairement décrites dans le dossier. Par ailleurs,
si le procédé de cryptage choisi pour sécuriser les échanges
de données a déjà été approuvé par le SCSSI, le laboratoire
devra intégrer au dossier la feuille d’agrément en question
(disponible auprès de l’entreprise fournissant le procédé
de chiffrement). Dans le cas contraire, une déclaration au
SCSSI sur les procédés de cryptage utilisés devra être réalisée.
Une
procédure simplifiée de déclaration devrait être mise en place
au printemps 1998. Elle sera valable pour tous les essais,
quelle que soit leur phase, et facilitera la composition du
dossier de base. La double déclaration restera obligatoire,
mais le dossier s’accompagnera d’une liste des essais
en cours et à venir. Il permettra ainsi au laboratoire d’effectuer
des déclarations et demandes d’autorisation non plus
au cas par cas, mais une fois par an pour l’ensemble
de ses projets.
Un impératif : la sécurisation des échanges
La
position de la CNIL sur le transfert d'informations épidémiologiques
et médicalisées via l'Internet s'est récemment assouplie.
L'Agence nationale de recherche sur le sida, dont le rôle
est d'évaluer les traitements prescrits aux malades, a ainsi
soumis à la CNIL en 1996 deux projets de traitement qui prévoyaient
la transmission, par l'Internet, de données indirectement
nominatives à un centre unique de recherche situé à Londres.
Les
données, recueillies dans plusieurs centres de soins, sont
de divers types. Elles concernent le code pays, le numéro
du centre, le numéro d'ordre du patient dans l'essai, sa date
de naissance, son sexe ainsi que des données purement médicales.
Dans
les deux cas, c'est l'INSERM
qui avait la charge de transmettre les données.La CNIL a émis
un avis favorable sur ce projet en préconisant toutefois l'adoption
de strictes mesures de protection, notamment la dissociation
des différents accès aux bases de données.
La décision d’Annecy
En
1996, la CNIL a été saisie d'une demande d'avis du Centre
Hospitalier d'Annecy à propos d'un projet expérimental de
télémédecine via l’Internet. Un système de boîtes aux
lettres géré par un tiers, filiale de France Telecom, assure
la communication entre des médecins de ville et certains services
hospitaliers. Ce projet, qui a pour but de faciliter la transmission
des dossiers médicaux et l'échange de messages entre confrères,
est le premier à prévoir l’échange de données médicales
directement nominatives sur le réseau.
La
CNIL s'est penchée sur les garanties de sécurité : chaque
message transmis vers l'extérieur fait l'objet d'un traitement
par un algorithme de cryptage spécifique. De plus, de façon
à assurer le respect effectif du secret médical, le message
reste chiffré dans sa boîte aux lettres tant que le médecin
destinataire n'a pas décidé de l’ouvrir.
Pour le lire, il doit frapper un code et un mot de passe personnel.
Le 24 juin dernier, la CNIL a rendu un avis favorable sur
le projet, après s'être assurée du sérieux des solutions de
sécurité proposées. Le modèle retenu correspond aux standards
du marché. Des projets évolués de gestion de l'information
médicale peuvent donc être développés à moindre coût et à
partir de technologies simples.
La décision d’Armentières
La
CNIL a rendu un avis favorable, comme lors de la décision
d’Annecy, sur la création d’un réseau d’informations
médicales et d’un annuaire électronique des professionnels
de santé y participant, dans le cadre d’un projet de
télémédecine instauré par le centre hospitalier d’Armentières.
En avalisant ce projet, la Commission a donc clarifié le contexte
réglementaire et juridique du recueil électronique de données,
des dossiers partagés et de la télémédecine.
|
