Découvrez Medcost

Plan du site

Contactez-nous

33, rue Raffet
75 016 Paris
Tél : 01 42 15 08 08

La confidentialité en toute transparence

Cédric Tournay

28 avril 1999
Suite (5/6)

Quelles solutions juridiques, techniques et sociales ?

Face aux problèmes identifiés, une réponse en deux temps est apporté par les Etats et les acteurs de la société civile. A court terme, il convient d’encadrer les traitements nominatifs par une législation à la fois universelle sur les principes et pragmatique sur les modalités de contrôle, c’est-à-dire adaptée à la réalité technique. C’est là le rôle des législateurs et – pour l’application des textes – des gouvernements et des organismes de contrôle créés depuis 20 ans dans les pays occidentaux. [cliquer pour accéder à la liste des organismes européens de protection de la confidentialité]

A moyen terme, il importe que les citoyens sachent se protéger contre les risques encourus et puissent se défendre en cas de problème. C’est là une question d’éducation et de compréhension de la technologie, enjeu majeur du moment puisque les dizaines de millions d’internautes récents ou à venir utilisent le média sans en maîtriser l’ingénierie.

Une réponse juridique

Le 24 octobre 1995, l'Union européenne a adopté la directive 95/46/CE relative à la protection des données personnelles et à la libre circulation de ces données. Le 25 octobre 1998, la directive est entrée en vigueur dans tous les pays européens, qui ont disposé de trois ans pour adapter leur législation. La France disposait déjà d’un arsenal juridique suffisant en la matière, si bien que la transposition s’est faite sans problèmes. Pour les Français, la Directive introduit peu d’éléments nouveaux puisque les principes généraux énoncés dans la Directive reprennent les règles développées depuis plus de 20 ans par la CNIL. Les Etats membres prévoient en effet que les données à caractère personnel doivent être :

  • traitées loyalement et licitement ;
  • collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n'est pas réputé incompatible pour autant que les Etats membres prévoient des garanties appropriées ;
  • adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement ;
  • exactes et, si nécessaire, mises à jour; toutes les mesures raisonnables doivent être prises pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées ;
  • conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement. Les Etats membres prévoient des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques.

Tous les pays de l’Union ont adapté leur arsenal juridique, l’Italie et la Grèce ayant adopté à cette occasion une législation spécifique puisqu’il n'existait pas dans ces pays de loi sur la protection des données personnelles avant l'adoption de la Directive. [cliquer ici pour en savoir + sur la Directive européenne]

La Directive uniformise les réglementations européennes sur le traitement de données nominatives mais elle renforce aussi la protection des informations confidentielles au niveau mondial, y compris dans les pays extérieurs à l’Union, pourtant non concernés par l’application de ce texte. En effet, la Directive européenne réglemente les transferts d’informations nominatives entre un pays de l’Union européenne et n’importe quel autre Etat.

Les Etats membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l'objet d'un traitement, ou destinées à faire l'objet d'un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat.Directive 95/46/CE, article 25.1

En somme, une société qui souhaite exploiter aux Etats-Unis – ou ailleurs - des fichiers nominatifs alimentés partiellement par des sites ou des bases de données européennes doit respecter les règles de protection édictées dans la Directive. Cette disposition devrait avoir un impact sur le métier des data managers, notamment dans le domaine de la santé. Les gestionnaires de bases de données et de fichiers marketing doivent en effet reconsidérer certaines règles de gestion et d’échange de leurs fichiers. En outre, la Directive interdit aux industriels d’organiser des transferts d’informations nominatives avec les pays qui ne se sont pas dotés de législation protégeant les données confidentielles. Certes, les organismes internationaux chargés d’appliquer cette législation ne pourront pas contrôler tous les flux de données. On peut néanmoins espérer que les industriels sauront s’adapter progressivement à ces règles et ne prendront pas le risque de contrevenir aux règles édictées. La Commission européenne et les Etats membres de l’Union sont également chargés de contrôler le respect de la Directive et de sanctionner les contrevenants. En outre, il est institué au niveau de l’Union Européenne un Groupe de protection des personnes à l'égard du traitement des données à caractère personnel. Ce groupe se compose d'un représentant des autorités de contrôle de chaque Etat membre, d'un représentant des autorités créées pour les institutions et organismes communautaires et d'un représentant de la Commission. Indépendant, ce Groupe veille à l’application de la Directive et transmet ses recommandations à la Commission européenne.

Les sanctions encourues dépendent des législations nationales. Dans tous les cas, les Etats membres peuvent intervenir pour faire cesser les transferts d’information lorsque toutes les dispositions de protection de la confidentialité ne sont pas prises par les destinataires des données ou par les pays où ils sont situés.

Un bras de fer musclé a déjà eu lieu entre les pouvoirs publics américains et la Commission européenne sur ces enjeux, les Américains étant plutôt favorable à un régime libéral en la matière. Heureusement, la Commission européenne compte un allié puissant : l’opinion publique américaine, inquiète des dérives observées dans le domaine de la confidentialité. Il est donc probable que la législation américaine reprendra progressivement les règles mises en œuvre par les Européens. Les Américains devront pour cela amender leur Data protection act, voté en 1984. Dans cette attente, les industriels localisés aux Etats-Unis devront signer des contrats avec les organismes européens lorsqu’ils voudront manipuler des informations nominatives portant partiellement ou entièrement sur des citoyens de l’Union. En santé, ces nouvelles dispositions ont évidemment un impact sur l’organisation d’essais cliniques internationaux organisés depuis les Etats-Unis et sur la gestion des bases de données marketing par les laboratoires pharmaceutiques. La santé étant un des principaux thème concerné par la protection des données confidentielles, la Directive prend le soin d’énumérer les domaines où un traitement nominatif est possible : médecine préventive, diagnostics médicaux, administration de soins ou de traitements, gestion de services de santé. En outre, les traitements doivent être effectués par un praticien de la santé soumis à l'obligation du secret professionnel ou par une autre personne également soumise à une obligation de secret équivalente. Au passage, il convient de noter que le secret médical et le secret professionnel sont des notions qui convergent actuellement, réduisant l’écart de statut et de responsabilités existant entre les médecins et d’autres intervenants potentiels dans la chaîne de traitement de l’information.

En complément des législations générales, des lois spécifiques apparaissent, par exemple pour protéger certaines catégories de population - comme les enfants - ou pour réglementer certains secteurs d’activité, notamment la santé. Le congrès américain a par exemple édité une loi en 1998 pour réglementer le recueil, l’utilisation et la commercialisation de données nominatives concernant les mineurs. [Lire le texte du Children's Online Privacy Protection Act]

Aux Etats-Unis, pourtant, la législation n’est pas encore satisfaisante. Les associations de protection des libertés publiques ont engagé un combat médiatique et procédurale pour obliger le gouvernement et le Congrès à adopter une loi répondant aux nouveaux enjeux.

En février 99, l’Electronic Privacy Information Center et plusieurs autres organisations ont adressé aux parlementaires américains une lettre les enjoignant d’organiser un débat public sur la prolifération des bases de données fédérales et sur les moyens de protéger la confidentialité des citoyens sur l’Internet. Entres autres critiques, l’EPIC revient sur l’épisode de l’identifiant national des patients américains. En 1998, l’administration américaine avait présenté un projet de création d’identifiants uniques pour les patients (health care ID number). [cliquer ici pour lire le Livre Blanc du gouvernement américain sur le sujet]

Les organisations de défense des libertés publiques avaient combattu avec rage ce projet, en considérant que les garanties données par le Ministère de la santé en matière de confidentialité étaient insuffisantes. La mobilisation de l’opinion avait abouti à la signature d’un moratoire, qui a acquis depuis une valeur législative, repoussant aux calendes l’adoption d’un tel identifiant, dont chacun mesure pourtant l’intérêt pour la coordination des soins et l’évaluation du système de santé. En somme, la sophistication des systèmes d’information doit aller de pair avec un renforcement de la confidentialité des données. [lire la lettre de l’EPIC adressée au Congrès]

Cet épisode rappelle que les difficultés observées dans le développement des systèmes d’information en santé sont universelles. Les pouvoirs publics américains éprouvent les plus grandes peines à faire accepter leurs projets par les professionnels de santé et par les patients, comme nous l’avions montré récemment au travers d’un dossier comparant les projets d’informatisation au niveau international. [cliquez ici pour lire notre dossier : Comment réussir l’informatisation des systèmes de santé ?]

Pour conclure sur les aspects juridiques, il convient d’ajouter que le cadre législatif et réglementaire français déterminant la constitution, la conservation et la communication du dossier médicale est aujourd’hui à peu près fixé. La jurisprudence de la CNIL continue de s’étoffer, notamment sous l’effet du développement des réseaux de soins, mais les professionnels de santé et les éditeurs informatiques disposent de repères solides pour mettre en place des dossiers médicaux électroniques, partagés ou non. Pour une analyse exhaustive de la question, on se reportera à l’ouvrage de référence publié par Liliane Dusserre, François-André Allaert et Henri Ducrot, L’information médicale, l’ordinateur et la loi (EMM, 1996)

 

 

Suite et fin (6/6)

 

28 avril 1999

    
Dossiers Internet Médical



momes.net
momes.net
ados.fr
ados.fr
doc tv
doc.tv
fluctuat.net
fluctuat.net
Suivez toute
l'actualité
du Foot
 


DOSSIER START-UP

La croisière ne s'amuse plus.
A vos dés.

CHIFFRES EN SANTE

Les 10 derniers articles de l'Internet Médical

 6 novembre 2002
Le WAP est mort, vive l’I-mode

Inetsanté : Internet, pathologies chroniques et professionnels de santé

 4 septembre 2002
Santé et Nouvelles Technologies de l’Information

12 juillet 2002
Le retour des cyberchondriaques

Trophée MFP

 8 mars 2002
Medisite story

Les lauréats des Prix Nobel ont des visions de l'Internet

Le CHRU de Strasbourg ausculte ses investissements informatiques

Proximologie.com, un concept signé Novartis

 19 novembre 2001
Hospimedia : Le dernier né des sites santé

{bandeaudroitbas}

   
   
     
Copyright © Medcost 2005 - Tous droits réservés.    
 
Dossiers
Plan du site
 
Références : Doctissimo I Caradisiac I Ados.fr I Momes.net I gnomz.com I fluctuat.net