• Home  / 
  • DELIBERATION 02-021

DELIBERATION 02-021

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Saisie par la ministre de l'emploi et de la solidarité d'un projet de décret relatif aux conditions dans lesquelles l'institut de veille sanitaire accède aux informations couvertes par le secret médical et industriel et modifiant le code de la santé publique ;

Vu la Convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le code de la santé publique et notamment ses articles L. 1413-2 à L. 1413-5 et L. 1413-13 ;

Vu le décret n° 78-774 du 17 juillet 1978 pris pour l'application de la loi du 6 janvier 1978 susvisée ;

Après avoir entendu Monsieur Alain VIDALIES, Commissaire en son rapport et Madame Charlotte-Marie PITRAT, Commissaire du Gouvernement en ses observations

FORMULE LES OBSERVATIONS SUIVANTES :

Il est prévu, aux termes de l'article L. 1413-5 du code de la santé publique issu de la loi sur la veille sanitaire du 1er juillet 1998, que "à la demande de l'Institut de veille sanitaire, lorsqu'il s'avère nécessaire de prévenir ou de maîtriser des risques pour la santé humaine, toute personne physique ou morale est tenue de lui communiquer toute information en sa possession relative à de tels risques. L'Institut accède, à sa demande, aux informations couvertes par le secret médical ou industriel dans des conditions préservant la confidentialité de ces données à l'égard des tiers."

L'article L. 1413-13 prévoit qu'un décret en Conseil d'Etat détermine les conditions dans lesquelles l'institut accède à ces informations.

L'institut de veille sanitaire, établissement public administratif placé sous la tutelle du ministre de la santé est chargé, conformément aux dispositions de l'article L. 1413-2 du code de la santé publique, d'effectuer la surveillance et l'observation permanente de l'état de santé de la population, d'alerter les pouvoirs publics, notamment les agences sanitaires, en cas de menace pour la santé publique, quelle qu'en soit l'origine, et de leur recommander toute mesure ou action appropriée. Il lui appartient également de mener toute action nécessaire pour identifier les causes d'une modification de l'état de santé de la population, notamment en situation d'urgence.

A cet effet, il lui incombe, aux termes de la loi, de recueillir et d'évaluer, le cas échéant sur place, l'information sur tout risque susceptible de nuire à la santé de la population, de participer à la mise en place, à la coordination et, en tant que de besoin, à la gestion des systèmes d'information et à la cohérence du recueil des informations.

La qualité de tiers autorisé, au sens de la loi du 6 janvier 1978, à accéder à de telles informations ainsi reconnue par la loi à l'Institut de veille sanitaire lui permet d'accéder à toute information couverte par le secret médical ou industriel dans les cas où il s'avère nécessaire de prévenir ou de maîtriser des risques pour la santé humaine par exemple, dans des situations avérées d'épidémie ou d'exposition à un risque physique, chimique ou biologique, ou dans une situation de risque potentiel mis en évidence par des études scientifiques ou à la suite d'un événement accidentel ou épidémique.

Il doit être relevé que l'article R. 792-2-1 du projet de décret précise que toute communication d'information à l'Institut de veille sanitaire doit faire l'objet d'une demande écrite et motivée de la part de son directeur général. La demande ainsi formulée doit mentionner le nom, ainsi que l'adresse administrative et électronique de la personne à laquelle ces informations seront transmises. Seul un professionnel de santé pourra être désigné s'il s'agit d'informations de nature médicale. La demande devra également mentionner la durée prévisible de conservation de ces informations. L'article R. 792-2-1 du projet de décret prévoit en outre que la demande doit être satisfaite sans délai, dans des conditions permettant d'en garantir la confidentialité. Ainsi lorsque ces informations seront transmises par voie postale, elles devront être adressées sous double enveloppe, celle placée à l'intérieur devant porter la mention "Secret médical" ou "Secret industriel".

La possibilité d'une transmission par voie électronique de ces informations, sous réserve du respect des dispositions de la loi du 6 janvier 1978 et de l'utilisation du dispositif de signature électronique par le destinataire de la demande conformément aux dispositions de l'article 1316-4 du code civil précisées par le décret du 30 mars 2001 est également prévue par le projet de décret.

S'il convient de prendre acte de la référence faite aux dispositions de la loi du 6 janvier 1978, il y a lieu de relever que l'exigence du recours à un procédé de signature électronique pour télétransmettre les données pourrait s'avérer peu compatible avec le contexte d'urgence de santé publique dans lequel pourront s'inscrire les demandés formulées par l'Institut de veille sanitaire alors que ces procédés restent aujourd'hui difficiles à mettre en oeuvre. En tout état de cause, la Commission estime nécessaire, dans la mesure où ces transmissions électroniques de données concerneront des informations médicales nominatives et où la loi impose que la confidentialité soit assurée à l'égard des tiers, qu'elles fassent l'objet d'un chiffrement. Ainsi y-a-t'il lieu de préciser, au quatrième alinéa de l'article R. 792-2-1, que les informations peuvent également être adressées sous forme chiffrée par télétransmission.

Les conditions de conservation des données sont précisées par l'article R. 792-2-2 du projet de décret qui indique également qu'à l'issue du délai estimé nécessaire par le directeur de l'IVS pour atteindre les finalités ayant justifié la collecte et le traitement des données, celles-ci seront archivées dans des conditions de nature à garantir leur confidentialité. Celles d'entre elles qui sont couvertes par le secret médical, c'est-à-dire qui sont nominatives seraient préalablement rendues anonymes quelque soit leur mode d'exploitation, papier ou numérique. Cependant, les données nominatives traitées dans le cadre d'une application informatique ne pouvant être conservées que le temps nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées et dans les conditions définies par la loi du 6 janvier 1978, la deuxième phrase de l'article R. 792-2-2 devrait être supprimée en ce qu'elle fait référence au directeur général de l'institut comme seule autorité habilitée à fixer le délai de conservation des données.

L'article R. 792-2-3 du projet de décret prévoit que dans les cas où il serait nécessaire d'alerter les pouvoirs publics d'une menace pour la santé imposant la mise en place de mesures d'urgence individuelles ou collectives, le ministre chargé de la santé ou les autorités mentionnées au 2° de l'article L. 1413-2 du code de la santé publique peuvent être destinataires de données couvertes par le secret médical ou industriel dans les conditions décrites précédemment.

La Commission prend acte de ces dispositions qui ont pour effet de conférer, dans certaines hypothèses et sous certaines conditions, la qualité de tiers autorisé, au sens de la loi du 6 janvier 1978, au ministre chargé de la santé et aux autorités mentionnées au 2° de l'article L. 1413-2 du code de la santé publique.

ESTIME que le quatrième alinéa de l'article R. 792-2-1 du projet de décret relatif aux conditions dans lesquelles l'Institut de veille sanitaire accède aux informations couvertes par le secret médical et industriel devrait prévoir que lorsque les données sont transmises par télétransmission, elles doivent être chiffrées.

CONSIDERE que l'exigence du recours à un procédé de signature électronique pour télétransmettre les données demeure aujourd'hui peu compatible avec le contexte d'urgence de santé publique dans lequel peut s'inscrire les demandes de l'Institut de veille sanitaire.

PROPOSE de supprimer à la deuxième phrase de l'article R. 792-2-2 du projet de décret la référence au directeur général de l'institut comme seule autorité habilitée à fixer le délai de conservation des données.

Le Président, Michel GENTOT.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: