• Home  / 
  • DELIBERATION 91-071

DELIBERATION 91-071

By Thiébaut Devergranne / 5 years ago

La Commission Nationale de l'Informatique et des Libertés ; Vu la Convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et notamment son article 6 ; Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, et notamment ses articles 1, 15, 19, 26, 27, 34 et 40 ; Vu l'article 378 du Code Pénal ; Vu l'article L 355-22 du Code de la Santé Publique ; Vu la loi n° 79-18 du 3 janvier 1979 sur les archives ; Vu la délibération de la CNIL n° 88-55 du 24 mai 1988 ; Vu la délibération de la CNIL n° 88-125 du 22 novembre 1988 ; Vu le projet d'arrêté présenté par le Ministère des Affaires Sociales et de l'Intégration ;
Après avoir entendu Madame Louise CADOUX en son rapport et Madame Charlotte-Marie PITRAT, Commissaire du Gouvernement en ses observations ; Considérant que le Ministère des Affaires Sociales et de l'Intégration, propose aux centres d'information et de soins sur l'immunodéficience humaine (CISIH) ainsi qu'aux établissements hospitaliers habilités par la Direction des Hôpitaux à traiter des patients atteints par l'infection par le VIH, de mettre en oeuvre localement un traitement automatisé d'informations nominatives dont les finalités sont :
- pour chaque service, d'assurer le suivi médical des patients, d'éditer les déclarations obligatoires du SIDA, et de permettre la réalisation au niveau local de recherches cliniques et épidémiologiques ; - de transmettre au Ministère des Affaires Sociales et de l'Intégration, des informations médico-économiques en vue de constituer une base de données qui permette de connaître, d'analyser et d'évaluer l'activité hospitalière liée à l'infection par le VIH et ainsi de mieux affecter à chaque hôpital les crédits consacrés à cette pathologie : - de transmettre à l'INSERM (Service commun n° 4) par l'intermédiaire de la Direction des Hôpitaux, des données épidémiologiques en vue de constituer une base de données qui permette de réaliser des recherches épidémiologiques et cliniques collaboratives.
Considérant que les médecins et les personnels paramédicaux ayant accepté de collaborer à ce dispositif d'informations, doivent recueillir, pour un certain nombre de patients volontaires tirés au sort, d'une part, leur identité, leur date de naissance, le département de domicile et le pays de résidence, d'autre part, des renseignements sur les modes de transmission présumés du virus HIV, le diagnostic clinique et biologique, les caractéristiques des recours aux soins, les traitements prescrits, la date et la cause du décès, et éventuellement des commentaires médicaux supplémentaires ; Considérant néanmoins qu'il ne peut être procédé à ces recueils d'informations que dans le respect des droits et libertés des individus, de leur identité humaine et de leur vie privée ; qu'en particulier, ces recueils d'informations ne doivent engendrer aucun risque de discrimination d'ordre social, racial ou professionnel ; Considérant qu'en application des dispositions des articles 26 et 27 de la loi du 6 janvier 1978, les patients doivent être informée individuellement de l'enregistrement informatique de leurs données médicales sous forme nominative, de façon à ce qu'ils puissent exprimer leur consentement libre et éclairé ;
Considérant que, pour la conduite du traitement des malades atteints du virus de l'immunodéficience humaine, l'explication, que le médecin est apte à donner au moment où il le juge le plus opportun, est essentielle, qu'en l'espèce, les médecins traitants, ou sous leur responsabilité, les personnels infirmiers s'engagent à remettre individuellement aux patients une lettre d'information sur la finalité et les conditions de mise en oeuvre du traitement informatique, sur les destinataires des informations et les modalités d'exercice du droit d'accès, de façon à ce qu'ils puissent exprimer, sous forme écrite, un consentement libre et éclairé ;
Considérant que le droit d'accès constitue l'une des garanties essentielles de la protection des individus ; qu'en conséquence, les personnes concernées sont informées que, conformément à l'article 40 de la loi du 6 janvier 1978, elles peuvent exercer leur droit d'accès et obtenir communication des données médicales les concernant par l'intermédiaire du médecin de leur choix et du médecin du centre habilité à détenir l'identité du patient ; Considérant que les données nominatives médicales sont destinées exclusivement aux médecins des unités médicales appelés à dispenser des soins aux malades sur lesquels ont été recueillies les informations, au coordonnateur médical du CISIH ou au médecin désigné par lui pour assurer la confidentialité des données et le respect des droits des patients notamment l'information de ces derniers et le recueil de leur consentement, ainsi que, sous la responsabilité de ce médecin, dans le respect du secret médical aux personnes habilitées du centre ou de l'établissement ; que ce médecin est également responsable de l'extraction et de la transmission des données à l'intention de la Direction des Hôpitaux et de l'INSERM ;
Considérant que ne doivent pouvoir faire l'objet d'une transmission tant à la direction des hôpitaux qu'à l'INSERM, que les renseignements collectés sans aucune autre indication que les mois et année de naissance, le sexe, le département de résidence ainsi qu'un numéro d'anonymat généré selon un algorithme de transcodage, à partir des noms, prénoms et date de naissance du patient ; que cette transmission de données sur support magnétique doit en outre faire l'objet d'un cryptage ; Considérant que les informations épidémiologiques concernant les partenaires du patient ainsi que l'origine géographique de la mère d'un enfant séropositif ne sont pas pertinentes et sont excessives par rapport à la finalité de suivi médico-économique poursuivie par la Direction des Hôpitaux ; qu'en conséquence, ces informations ne peuvent être transmises qu'à l'INSERM et que le projet d'acte réglementaire doit être modifié en ce sens ; Considérant que le respect du secret médical impose qu'un médecin ait nommément désigné tant à la Direction des Hôpitaux qu'à l'INSERM pour assurer la confidentialité des données ;
Considérant que les traitements sont réalisés tant au plan local que national sur des matériels informatiques autonomes, implantés localement dans les services médicaux et non connectés à un réseau de transmission ; que les accès aux fichiers sont contrôlés par des procédures de mots de passe individuels associés à des niveaux d'habilitation gérés sous la responsabilité des médecins nommément désignés pour assurer la confidentialité des traitements ; Considérant en outre que la Commission devra être saisie par chaque Centre Hospitalier des mesures de sécurité physiques et logiques adoptées localement ;
EMET UN AVIS FAVORABLE au projet d'arrêté du Ministère des Affaires Sociales et de l'Intégration sous les réserves suivantes : - que les informations épidémiologiques concernant les partenaires du patient ainsi que l'origine géographique de la mère d'un enfant séropositif ne soient transmises qu'à l'INSERM et que le projet d'acte réglementaire soit modifié en ce sens ; - que les CISIH qui le souhaitent, puissent transmettre à la Direction des Hôpitaux et à l'INSERM des statistiques agrégées et anonymes à partir de leurs propres applications ; - qu'un médecin soit nommément désigné tant à la Direction des Hôpitaux qu'à l'INSERM pour assurer la confidentialité des données transmises ;
- que les données nominatives soient protégées au niveau local par des mesures de sécurités physiques et logiques appropriées dont la CNIL devra avoir connaissance et que les disquettes de sauvegarde fassent l'objet d'une procédure de cryptage ; - que les données soient transmises, cryptées et "anonymisées" selon un algorithme de transcodage des identités ; - que les centres collaborant à ce dispositif d'information présentent à la CNIL une demande d'avis allégée comportant un projet d'acte réglementaire, un engagement de conformité, une annexe sur les mesures de sécurités physiques et logiques, une annexe précisant les informations supplémentaires enregistrées et la formule de consentement retenue ;
DEMANDE à être saisie avant sa publication, de l'acte, réglementaire comportant les réserves ci-dessus indiquées. DEMANDE à être tenu informée des conditions de fonctionnement du système. Le Président, Jacques FAUVET.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: