• Home  / 
  • DELIBERATION 88-125

DELIBERATION 88-125

By Thiébaut Devergranne / 5 years ago

La Commission Nationale de l'Informatique et des Libertés, Vu la Convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ; Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, et notamment ses articles 1, 15, 19, 26, 27, 34 et 40 ; Vu l'article 378 du Code Pénal ; Vu la loi n° 79-18 du 3 janvier 1979 sur les archives ; Vu la délibération n° 85-07 du 19 février 1985 portant adoption d'une recommandation sur les traitements automatisés d'informations médicales nominatives utilisés à des fins de recherche médicale ; Vu le projet de décision présenté par le Directeur Général de l'INSERM ; Après avoir entendu Madame Louise CADOUX en son rapport et Madame Charlotte-Marie PITRAT, Commissaire du Gouvernement en ses observations ;
Considérant que l'INSERM a créé un service commun, dénommé Centre coopérateur de données sur l'épidémiologie de l'immunodéficience humaine qui est chargé d'établir un dispositif d'information épidémiologique sur le SIDA en collaboration avec les centres d'informations et de soins sur l'immunodéficience humaine et les services hospitaliers qui prennent en charge des patients séropositifs et des malades atteints de SIDA ; Considérant que ce dispositif doit permettre à partir des informations transmises par les centres collaborateurs, la constitution de banques de données médicales communes dont l'objet est d'améliorer la surveillance épidémiologique de cette maladie, de renforcer l'organisation des essais thérapeutiques et de mener des études épidémiologiques ; Considérant que les recherches cliniques et épidémiologiques sur le SIDA présentent un intérêt majeur pour la santé publique ; Considérant néanmoins que ces recherches doivent être faites en respectant les droits et libertés des individus, leur identité humaine et leur vie privée ; qu'en particulier, elles ne doivent engendrer aucune discrimination d'ordre social, racial ou professionnel ; Considérant en outre que les données médicales indirectement nominatives, collectées aux fins de recherche, doivent être réservées à l'usage médical ;
- Sur la nature des données collectées : Considérant que les médecins collaborant à ce dispositif d'information, collectent, pour chacun de leurs patients, des renseignements sur les modes de transmission présumés du VIRUS HIV, le diagnostic clinique et biologique, les modalités et les résultats du traitement prescrit ; Considérant que les médecins peuvent éventuellement collecter et traiter des données complémentaires ; Considérant que ces données doivent être pertinentes, adéquates et non excessives par rapport à la finalité du traitement ; qu'afin d'en assurer le contrôle préalable que lui prescrit l'article 15 de la loi du 6 janvier 1978, la Commission devra avoir connaissance de la liste des informations supplémentaires éventuellement traitées par chaque centre ;
- Sur la confidentialité des données : Considérant que les données sont recueillies sur des fiches individuelles comportant l'identité du patient, sa date de naissance, sa profession, son sexe ainsi que le département ou le pays du domicile principal ; Considérant que ces fiches sont réservées à l'usage interne du centre et font partie des dossiers médicaux des patients ; que seuls font l'objet d'un enregistrement informatique et d'une transmission cryptée à l'INSERM, sur support magnétique, les renseignements médicaux sans aucune autre indication nominative que les mois et année de naissance, le sexe, le département de résidence ainsi qu'un numéro d'anonymat ; Considérant que ce numéro d'anonymat est généré selon un algorythme de transcodage, à partir des noms, prénoms et date de naissance du patient ; Prenant acte de ce que cette procédure de transcodage a été expertisée par le service central de la sécurité des systèmes d'information chargé en application du décret du 3 mars 1986, d'évaluer le niveau de protection des systèmes d'information ; Considérant que nonobstant la garantie de confidentialité qu'apportent de telles procédures de codage des identités, il importe que l'accès aux traitements informatiques des données médicales soit protégé efficacement ; Considérant que les traitements sont réalisés tant au plan local que national sur des moyens informatiques autonomes, réservés à l'usage de la recherche et non connectés à un réseau de transmission ; que les accès aux fichiers de recherche sont contrôlés par des procédures de mots de passe individuels associés à des niveaux d'habilitation gérés sous la responsabilité des médecins nommément désignés pour assurer la confidentialité des traitements ; Considérant que les personnels médicaux et paramédicaux appelés à utiliser ces applications informatiques seront sensibilisés à leurs obligations de secret ; Considérant que ces dispositions sont de nature à assurer la confidentialité des données et à éviter des communications d'informations à des tiers non autorisés ;
- Sur l'information préalable des patients : Considérant qu'en application des dispositions des articles 26 et 27 de la loi du 6 janvier 1978, les patients doivent être informés individuellement de l'enregistrement informatique de leurs données médicales sous forme nominative, de façon à ce qu'ils puissent éventuellement s'y opposer et exprimer leur consentement libre et éclairé ;
- Sur le consentement des patients : Considérant d'une part, qu'aux termes de l'article 31, premier alinéa de la loi du 6 janvier 1978 "il est interdit de mettre ou conserver en mémoire informatisée, sauf accord exprès de l'intéressé, des données nominatives qui directement ou indirectement, font apparaître les origines raciales ou les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales des personnes" ; Considérant d'autre part, qu'aux termes de l'article 6 de la convention du conseil de l'Europe, applicable à compter du 1er octobre 1985, "les données à caractère personnel révèlant l'origine raciale, les optiques politiques, les convictions religieuses ou autres convictions, ainsi que les données à caractère personnel relatives à la santé ou à la vie sexuelle, ne peuvent être traitées automatiquement à moins que le droit interne ne prévoie des garanties appropriées. Il en est de même des données à caractère personnel concernant des condamnations pénales" ;
Considérant que les données médicales ne sont pas au nombre de celles pour lesquelles le législateur français impose, avant leur traitement informatisé, le consentement exprès des personnes concernées ; qu'en revanche, elles figurent dans l'énumération des données pour lesquelles la convention du conseil de l'Europe prévoit, à la charge des Etats contractants, que des garanties appropriées doivent être prises ; que la CNIL a compétence pour apprécier et prescrire aux détenteurs de fichiers ces garanties ; qu'ainsi la C.N.I.L. peut proportionner ses exigences aux finalités de l'application, en particulier lorsqu'elle fixe les modalités du recueil du consentement des intéressés, consentement qui constitue une des garanties essentielles des droits des patients ; Considérant qu'en l'espèce, compte tenu de la nature des informations recueillies, et des caractéristiques de la maladie, le consentement des patients doit, pour offrir une garantie suffisante, être préalable à toute saisie informatique des données les concernant et délivré de manière expresse, c'est-à-dire par écrit ; que toutefois, il y a lieu de laisser le médecin traitant choisir les circonstances dans lesquelles il recueille cet accord après avoir informé le patient et établi avec lui les relations de confiance nécessaires au traitement de cette infection ; Considérant que l'article 5 du projet de décision doit être modifié en conséquence ;
- Sur le droit d'accès : Considérant que le droit d'accès constitue l'une des garanties essentielles de la protection des individus ; qu'en conséquence, les personnes concernées sont informées que, conformément à l'article 40 de la loi du 6 janvier 1978, elles peuvent exercer leur droit d'accès et obtenir communication des données médicales les concernant par l'intermédiaire du médecin de leur choix et du médecin du centre habilité à détenir l'identité du patient ; Considérant enfin que les données recueillies pour l'application, objet de la présente délibération, tant par les centres d'information et de soins sur l'immunodéficience humaine et les autres services hospitaliers concernés que par le centre coopérateur de données sur l'épidémiologie de cette affection ne sont pas transférés en dehors du territoire national ;
Emet, sous les réserves précitées, un AVIS FAVORABLE au projet de décision du Directeur Général de l'INSERM, étant entendu que les centres collaborant à ce dispositif d'information devront présenter à la CNIL une demande d'avis allégée comportant un projet d'acte réglementaire, un engagement de conformité notamment sur les mesures de sécurité ainsi qu'éventuellement, une annexe technique sur les sécurités en cas de configuration informatique multipostes et une annexe précisant les informations supplémentaires enregistrées. Demande à être tenu informé des conditions de fonctionnement du système. Jacques FAUVET

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: