Vos droits

Informatique et Libertés, !

Publié le 10/03/2004

Article réservé aux abonnés

Dans la mesure où les informations collectées relèvent de l'intimité privée et où leur divulgation est susceptible de porter atteinte aux droits et libertés des personnes concernées, celles-ci doivent être particulièrement protégées. Cela conduit à s'interroger sur la conformité des traitements informatiques mis en œuvre avec les règles de déontologie médicale, le principe du secret médical (article 226-13 du nouveau code pénal), et au regard de la loi Informatique et Libertés du 6 janvier 1978.

Des règles à respecter.

Cette loi a défini des règles à respecter lors de la collecte, du traitement et de la conservation et de la transmission des informations nominatives :
- Les informations nominatives à caractère médical ne peuvent être recueillies et traitées que pour une finalité déterminée et légitime. C'est-à-dire afin de faciliter le suivi thérapeutique ou médical des patients et, pour les besoins de santé publique, dans les conditions déterminées par la loi (chapitres V bis et V ter de la loi Informatique et Libertés, à des fins de recherche dans le domaine de la santé ou d'évaluation ou d'analyse des activités de soins et de prévention).
- Ces informations, couvertes par le secret médical, ne peuvent être communiquées qu'à des destinataires habilités et des personnes autorisées à en connaître, soit en raison de leur fonction (exemple : médecins), soit en application de dispositions législatives ou réglementaires particulières. Ainsi, à titre d'exemple, les autorités judiciaires peuvent obtenir la communication de certaines informations, sous réserve que celles-ci soient strictement indispensables à l'enquête, et que leur communication s'opère en présence conjointe du professionnel de santé et d'un membre du Conseil de l'Ordre (article 56-1, al. 2 du code de procédure pénale). En revanche, les médecins de compagnies d'assurances et les employeurs ne peuvent être habilités à connaître les données contenues dans le dossier médical d'un patient.
- Le responsable du traitement est tenu à une obligation de sécurité, et doit dès lors prendre toutes les précautions nécessaires pour garantir la confidentialité des données, empêcher leur divulgation et leur altération.
- Les patients doivent être informés de l'informatisation de leurs données et des modalités d'exercice des droits qui leur sont ouverts au titre de la loi Informatique et Libertés. L'article 40 de la loi prévoit ainsi que les données de santé à caractère personnel peuvent être communiquées à la personne concernée, soit directement, soit par l'intermédiaire d'un médecin.

Sanctions pénales.

Le non-respect de ces dispositions légales fait l'objet de sanctions pénales pouvant aller jusqu'à cinq ans d'emprisonnement et 300 000 euros d'amende.
Ainsi, dans une affaire relative à la mise en œuvre d'un traitement par un syndicat de médecins du travail, la responsabilité pénale de ce dernier a été retenue en raison :
- du manque de formation et de sensibilisation des utilisateurs au respect des dispositions prévues par la loi Informatique et Libertés, carence qui a permis l'accès aux dossiers médicaux à des membres du personnel administratif ;
- de l'absence de déclaration préalable à la commission nationale Informatique et Libertés (Cnil) (Crim., 30 octobre 2001, arrêt n° 6792).
Plus récemment, la Cnil a multiplié ses décisions de contrôle et accentué son rôle d'investigation, décidant d'appliquer plus rigoureusement les moyens répressifs mis à sa disposition.
La transposition prochaine de la directive européenne 95/94 du 24 octobre 1995 entraînera des contrôles a posteriori plus fréquents et va accroître les pouvoirs de la Cnil (injonction de faire cesser un traitement illicite, retrait de l'autorisation de mise en œuvre du traitement illicite, sanctions pécuniaires pouvant aller jusqu'à 150 000 euros).
Dans ce contexte, les professionnels de la santé ont tout intérêt à vérifier qu'ils respectent les obligations légales mises à leur charge, et le cas échéant, à se mettre en conformité.
Il peut être utile de procéder à un audit des traitements de données nominatives existants ou à venir, afin de vérifier notamment les mentions d'information, la finalité de la collecte, la nature des données collectées, les modes de collecte, la durée de conservation des données, les mesures de sécurité adoptées (cryptage, filtrage d'accès, etc.), le respect ou non des formalités déclaratives préalables, les conditions de transfert éventuel de données vers d'autres pays.
Afin d'identifier rapidement et efficacement les mesures correctives à mettre éventuellement en place.