Quelles solutions juridiques,
techniques et sociales ?
Face
aux problèmes identifiés, une réponse en deux temps est apporté
par les Etats et les acteurs de la société civile. A court terme,
il convient dencadrer les traitements nominatifs par une législation
à la fois universelle sur les principes et pragmatique sur les modalités
de contrôle, cest-à-dire adaptée à la réalité technique. Cest
là le rôle des législateurs et pour lapplication des
textes des gouvernements et des organismes de contrôle créés
depuis 20 ans dans les pays occidentaux. [cliquer
pour accéder à la liste des organismes européens de protection de
la confidentialité]
A moyen
terme, il importe que les citoyens sachent se protéger contre les
risques encourus et puissent se défendre en cas de problème. Cest
là une question déducation et de compréhension de la technologie,
enjeu majeur du moment puisque les dizaines de millions dinternautes
récents ou à venir utilisent le média sans en maîtriser lingénierie.
Une réponse juridique
Le
24 octobre 1995, l'Union européenne a adopté la directive
95/46/CE relative à la protection des données personnelles et à
la libre circulation de ces données. Le 25 octobre 1998, la
directive est entrée en vigueur dans tous les pays européens, qui
ont disposé de trois ans pour adapter leur législation. La France
disposait déjà dun arsenal juridique suffisant en la matière,
si bien que la transposition sest faite sans problèmes. Pour
les Français, la Directive introduit peu déléments nouveaux
puisque les principes généraux énoncés dans la Directive reprennent
les règles développées depuis plus de 20 ans par la CNIL. Les
Etats membres prévoient en effet que les données à caractère personnel
doivent être :
traitées loyalement
et licitement ;
collectées pour
des finalités déterminées, explicites et légitimes, et ne pas
être traitées ultérieurement de manière incompatible avec ces
finalités. Un traitement ultérieur à des fins historiques, statistiques
ou scientifiques n'est pas réputé incompatible pour autant que
les Etats membres prévoient des garanties appropriées ;
adéquates, pertinentes
et non excessives au regard des finalités pour lesquelles elles
sont collectées ou pour lesquelles elles sont traitées ultérieurement
;
exactes et, si nécessaire,
mises à jour; toutes les mesures raisonnables doivent être prises
pour que les données inexactes ou incomplètes, au regard des finalités
pour lesquelles elles sont collectées ou pour lesquelles elles
sont traitées ultérieurement, soient effacées ou rectifiées ;
conservées sous
une forme permettant l'identification des personnes concernées
pendant une durée n'excédant pas celle nécessaire à la réalisation
des finalités pour lesquelles elles sont collectées ou pour lesquelles
elles sont traitées ultérieurement. Les Etats membres prévoient
des garanties appropriées pour les données à caractère personnel
qui sont conservées au-delà de la période précitée, à des fins
historiques, statistiques ou scientifiques.
Tous
les pays de lUnion ont adapté leur arsenal juridique, lItalie
et la Grèce ayant adopté à cette occasion une législation spécifique
puisquil n'existait pas dans ces pays de loi sur la protection
des données personnelles avant l'adoption de la Directive. [cliquer
ici pour en savoir + sur la Directive européenne]
La
Directive uniformise les réglementations européennes sur le traitement
de données nominatives mais elle renforce aussi la protection
des informations confidentielles au niveau mondial, y compris dans
les pays extérieurs à lUnion, pourtant non concernés par lapplication
de ce texte. En effet, la Directive européenne réglemente les transferts
dinformations nominatives entre un pays de lUnion européenne
et nimporte quel autre Etat.
Les Etats
membres prévoient que le transfert vers un pays tiers de données
à caractère personnel faisant l'objet d'un traitement, ou destinées
à faire l'objet d'un traitement après leur transfert, ne peut
avoir lieu que si, sous réserve du respect des dispositions
nationales prises en application des autres dispositions de
la présente directive, le pays tiers en question assure un niveau
de protection adéquat.Directive 95/46/CE, article
25.1
En
somme, une société qui souhaite exploiter aux Etats-Unis
ou ailleurs - des fichiers nominatifs
alimentés partiellement par des sites ou des bases de données européennes
doit respecter les règles de protection édictées dans la Directive.
Cette disposition devrait avoir un impact sur le métier des data
managers, notamment dans le domaine de la santé. Les gestionnaires
de bases de données et de fichiers marketing doivent en effet reconsidérer
certaines règles de gestion et déchange de leurs fichiers.
En outre, la Directive interdit aux industriels dorganiser
des transferts dinformations nominatives avec les pays qui
ne se sont pas dotés de législation protégeant les données confidentielles.
Certes, les organismes internationaux chargés dappliquer cette
législation ne pourront pas contrôler tous les flux de données.
On peut néanmoins espérer que les industriels sauront sadapter
progressivement à ces règles et ne prendront pas le risque de contrevenir
aux règles édictées. La Commission européenne et les Etats membres
de lUnion sont également chargés de contrôler le respect de
la Directive et de sanctionner les contrevenants. En outre, il est
institué au niveau de lUnion Européenne un Groupe de
protection des personnes à l'égard du traitement des données à caractère
personnel. Ce groupe se compose d'un représentant des autorités
de contrôle de chaque Etat membre, d'un représentant des autorités
créées pour les institutions et organismes communautaires et d'un
représentant de la Commission. Indépendant, ce Groupe veille à lapplication
de la Directive et transmet ses recommandations à la Commission
européenne.
Les
sanctions encourues dépendent des législations nationales. Dans
tous les cas, les Etats membres peuvent intervenir pour faire cesser
les transferts dinformation lorsque toutes les dispositions
de protection de la confidentialité ne sont pas prises par les destinataires
des données ou par les pays où ils sont situés.
Un
bras de fer musclé a déjà eu lieu entre les pouvoirs publics américains
et la Commission européenne sur ces enjeux, les Américains étant
plutôt favorable à un régime libéral en la matière. Heureusement,
la Commission européenne compte un allié puissant : lopinion
publique américaine, inquiète des dérives observées dans le domaine
de la confidentialité. Il est donc probable que la législation américaine
reprendra progressivement les règles mises en uvre par les
Européens. Les Américains devront pour cela amender leur Data
protection act, voté en 1984. Dans cette attente, les industriels
localisés aux Etats-Unis devront signer des contrats avec les organismes
européens lorsquils voudront manipuler des informations nominatives
portant partiellement ou entièrement sur des citoyens de lUnion.
En santé, ces nouvelles dispositions ont évidemment un impact sur
lorganisation dessais cliniques internationaux organisés
depuis les Etats-Unis et sur la gestion des bases de données marketing
par les laboratoires pharmaceutiques. La santé étant un des principaux
thème concerné par la protection des données confidentielles, la
Directive prend le soin dénumérer les domaines où un traitement
nominatif est possible : médecine préventive, diagnostics médicaux,
administration de soins ou de traitements, gestion de services de
santé. En outre, les traitements doivent être effectués par un praticien
de la santé soumis à l'obligation du secret professionnel ou par
une autre personne également soumise à une obligation de secret
équivalente. Au passage, il convient de noter que le secret médical
et le secret professionnel sont des notions qui convergent actuellement,
réduisant lécart de statut et de responsabilités existant
entre les médecins et dautres intervenants potentiels dans
la chaîne de traitement de linformation.
En
complément des législations générales, des lois spécifiques apparaissent,
par exemple pour protéger certaines catégories de population - comme
les enfants - ou pour réglementer certains secteurs dactivité,
notamment la santé. Le congrès américain a par exemple édité une
loi en 1998 pour réglementer le recueil, lutilisation et la
commercialisation de données nominatives concernant les mineurs.
[Lire
le texte du Children's Online Privacy Protection Act]
Aux
Etats-Unis, pourtant, la législation nest pas encore satisfaisante.
Les associations de protection des libertés publiques ont engagé
un combat médiatique et procédurale pour obliger le gouvernement
et le Congrès à adopter une loi répondant aux nouveaux enjeux.
En
février 99, lElectronic
Privacy Information Center et plusieurs autres organisations
ont adressé aux parlementaires américains une lettre les enjoignant
dorganiser un débat public sur la prolifération des bases
de données fédérales et sur les moyens de protéger la confidentialité
des citoyens sur lInternet. Entres autres critiques, lEPIC
revient sur lépisode de lidentifiant national des patients
américains. En 1998, ladministration américaine avait présenté
un projet de création didentifiants uniques pour les patients
(health care ID number). [cliquer
ici pour lire le Livre Blanc du gouvernement américain sur le sujet]
Les
organisations de défense des libertés publiques avaient combattu
avec rage ce projet, en considérant que les garanties données par
le Ministère de la santé en matière de confidentialité étaient insuffisantes.
La mobilisation de lopinion avait abouti à la signature dun
moratoire, qui a acquis depuis une valeur législative, repoussant
aux calendes ladoption dun tel identifiant, dont chacun
mesure pourtant lintérêt pour la coordination des soins et
lévaluation du système de santé. En somme, la sophistication
des systèmes dinformation doit aller de pair avec un renforcement
de la confidentialité des données. [lire
la lettre de lEPIC adressée au Congrès]
Cet
épisode rappelle que les difficultés observées dans le développement
des systèmes dinformation en santé sont universelles. Les
pouvoirs publics américains éprouvent les plus grandes peines à
faire accepter leurs projets par les professionnels de santé et
par les patients, comme nous lavions montré récemment au travers
dun dossier comparant les projets dinformatisation au
niveau international. [cliquez ici pour
lire notre dossier : Comment réussir linformatisation
des systèmes de santé ?]
Pour
conclure sur les aspects juridiques, il convient dajouter
que le cadre législatif et réglementaire français déterminant la
constitution, la conservation et la communication du dossier médicale
est aujourdhui à peu près fixé. La jurisprudence de la CNIL
continue de sétoffer, notamment sous leffet du développement
des réseaux de soins, mais les professionnels de santé et les éditeurs
informatiques disposent de repères solides pour mettre en place
des dossiers médicaux électroniques, partagés ou non. Pour une analyse
exhaustive de la question, on se reportera à louvrage de référence
publié par Liliane Dusserre, François-André Allaert et Henri Ducrot,
Linformation
médicale, lordinateur et la loi (EMM,
1996)