• Home  / 
  • DELIBERATION 92-025

DELIBERATION 92-025

By Thiébaut Devergranne / 5 years ago

La Commission Nationale de l'Informatique et des Libertés,
Vu la Convention du Conseil de l'Europe n° 108 du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, notamment ses articles 6 et 8 ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'Informatique, aux fichiers et aux libertés ;
Vu l'article 378 du Code Pénal ;
Vu le décret n° 78-774 du 17 juillet 1978 pris pour l'application de la loi susvisée ;
Vu le décret n° 79-506 du 28 juin 1979 portant code de déontologie médicale, notamment ses articles 3, 7, 11 et 42 ;

Vu la délibération de la CNIL n° 85-07 du 19 février 1985 portant adoption d'une recommandation sur les traitements automatisés d'informations médicales nominatives utilisés à des fins de recherche médicale ;
Vu la délibération de la CNIL n° 89-126 du 7 novembre 1989 portant conseil sur le titre VI de l'avant projet de loi sur les sciences de la vie et les droits de l'homme relatif aux traitements de données nominatives ayant pour fins la connaissance, la protection et l'amélioration de la santé ;

Après avoir entendu Monsieur Pierre SCHIELE en son rapport et Madame Charlotte-Marie PITRAT, Commissaire du Gouvernement en ses observations ;
Considérant que la Commission a été saisie, le 13 février 1992, par le Ministre de la Recherche et de la Technologie d'un projet de loi qui a pour objet de compléter l'article 378 du Code Pénal et d'adapter certaines dispositions de la loi du 6 janvier 1978 afin de permettre, à des fins de recherche dans le domaine de la santé, les traitements automatisés de données nominatives de santé transmises par les membres des professions de santé ;

Considérant que, dans sa délibération du 19 février 1985 portant adoption d'une recommandation sur les traitements automatisés d'informations médicales nominatives utilisés à des fins de recherche médicale, la Commission avait appelé l'attention du gouvernement sur la nécessité de compléter l'article 378 du Code Pénal, d'adapter les seules dispositions des articles 26 et 27 de la loi du 6 janvier 1978 et de garantir le caractère scientifique des recherches ; que ce projet de loi répond, dans ses objectifs, à l'attente de la CNIL ;
Considérant qu'il est souhaitable qu'il s'intègre dans le dispositif général établi par la loi du 6 janvier 1978, sans constituer une législation particulière ; que s'il en était autrement, des législations sectorielles pourraient être créées en matière de police, d'assurances, de crédit, de sécurité sociale, d'emplois, de publipostage, ce qui substituerait à des principes généraux des règles particulières génératrices de complexité ; que cela est d'autant moins souhaitable qu'une proposition de Directive européenne prend en compte, sous l'influence de la France, ces principes généraux ; qu'en outre les deux autres projets de loi présentés par le Gouvernement dans le domaine de la bioéthique s'insèrent l'un dans le Code de la Santé Publique, l'autre dans le Code Civil ;

ESTIME qu'il n'y a pas lieu d'instituer un dispositif législatif spécifique, la loi du 6 janvier 1978 devant uniquement être adaptée en ses articles 15, 16, 26 et 27 et l'article 378 du Code Pénal complété par un cinquième alinéa ;
- Sur le secret professionnel et la modification de l'article 378 du Code Pénal :
Considérant qu'en application de l'article 19 de la loi du 6 janvier 1978 la CNIL est chargée de vérifier les dispositions prises pour assurer la sécurité des traitements automatisés et des informations et la garantie des secrets protégés par la loi ; que l'article 29 impose que les informations, en particulier celles couvertes par l'article 378 du Code Pénal, ne soient pas communiquées à des tiers non autorisés, sous peine des sanctions pénales de l'article 42 de la loi du 6 janvier 1978 ;
Considérant qu'en l'état actuel, l'article 378 du Code Pénal interdit que des données relatives à un patient soient transmises à un professionnel de santé si ce n'est dans l'intérêt direct du malade ;

Considérant que pour améliorer les connaissances générales de la santé, il est indispensable que les données relatives à un patient puissent être transmises à des chercheurs en santé ;
Considérant que le projet de loi qui tend à autoriser les membres des professions de santé à transmettre aux fins précitées, des informations médicales nominatives à un médecin responsable du traitement automatisé de ces données, est tout à fait justifié ; qu'il convient cependant de subordonner ces transmissions de données à certaines garanties ;

- Sur le champ d'application :
Considérant que selon l'exposé des motifs et les précisions apportées lors de l'instruction du dossier par le ministère de la recherche, le projet de loi concernerait exclusivement les traitements automatisés d'informations nominatives réalisés dans le domaine de la recherche épidémiologique ; que de plus, aux termes de l'article 3 du projet de loi, les résultats des traitements ne doivent pas permettre l'identification directe ou indirecte des personnes concernées ;
ESTIME que le projet de loi doit en conséquence être modifié pour préciser que sont seulement concernés les traitements automatisés réalisés dans le domaine des recherches épidémiologiques et pour indiquer que les données agrégées, résultant des traitements automatisés et destinées à être publiées, ne doivent pas permettre l'identification directe ou indirecte des personnes concernées ;

- Sur l'information préalable et l'accord des personnes :
Considérant, que le projet de loi prévoit que les personnes auprès desquelles sont recueillies des données seront informées de la finalité du traitement automatisé ainsi que de l'existence d'un droit d'accès et d'opposition, que, toutefois, cette information pourrait ne pas être délivrée si le médecin estime en conscience que cette information serait de nature à entraîner la révélation d'un diagnostic ou d'un pronostic grave ou si, dans les cas où le traitement automatisé utilise des données, préalablement recueillies pour une autre finalité la nécessité de retrouver les personnes pour les informer exposerait à des délais ou des investigations excessifs ;
Considérant que ce texte prévoit également, qu'une information générale sur les dispositions précitées sera assurée dans tout établissement ou centre où s'exercent des activités de prévention, de diagnostic et de soins ;

ESTIME que les dispositions de l'article 27 de la loi du 6 janvier 1978 doivent demeurer applicables et que cet article doit être complété pour préciser que les personnes seront informées individuellement et par écrit, de la finalité du traitement automatisé et de ce que leur accord pour ce type de traitement doit être sollicité ;
ESTIME que l'appréciation des exceptions à l'obligation d'information doit incomber à la CNIL ;
Considérant qu'en retenant la simple possibilité d'exercer son droit d'opposition, en étant obligé de justifier de raisons légitimes, au lieu de prescrire le recueil de l'accord de l'intéressé, le projet de loi ne respecte pas suffisamment les droits des individus relatifs à leur vie privée et n'apporte pas non plus les garanties appropriées requises par l'article 6 de la Convention du Conseil de l'Europe précitée ; que l'expression de la volonté de la personne ne saurait connaître de limite autre que celle de sa conscience, dans la mesure où les données concernées relèvent de l'intimité de sa vie privée ; qu'ainsi elle doit pouvoir conserver la maîtrise de ces informations, en réserver l'accès aux seuls membres de l'équipe soignante, définis comme des confidents nécessaires, et donner, le cas échéant, son accord à leur transmission aux médecins qui n'interviennent pas dans le traitement thérapeutique,

ESTIME que l'article 26 de la loi du 6 janvier 1978 doit en conséquence être complété par un troisième alinéa disposant que l'accord de toute personne physique doit être sollicité pour que des informations nominatives la concernant fassent l'objet d'un traitement ayant pour fin la recherche épidémiologique ;
- Sur le régime d'autorisation unique et l'institution du Comité National de la Statistique pour la recherche en Santé :
Considérant que le projet de loi prévoit de soumettre à autorisation préalable tout traitement automatisé de données nominatives ayant pour fin la recherche dans le domaine de la santé, quelle que soit la nature juridique de l'organisme pour le compte duquel le traitement est mis en oeuvre ; que l'article 15 de la loi du 6 janvier 1978 doit en conséquence être complété en ce sens ;

ESTIME que le principe de formalités préalables identiques pour la création de traitements automatisés relevant du secteur public comme du secteur privé doit être approuvé ; que toutefois l'exigence d'un acte réglementaire est sans doute inadéquate pour la création des traitements automatisés relevant du secteur privé ; qu'il convient de rechercher une forme d'engagement de l'organisme de recherche privé, d'une portée comparable et qu'en tout état de cause la publicité de cet engagement doit être réalisée par des moyens appropriés ;
Considérant que le projet de loi vise à créer un Comité National de la statistique pour la recherche en santé, qui serait chargé d'apprécier l'intérêt scientifique de la recherche, la validité du recours à l'utilisation de données nominatives ainsi que la pertinence des informations par rapport à la finalité du traitement ;

ESTIME que, conformément à la recommandation précitée de la CNIL du 19 février 1985, les missions de ce Comité, qui devrait être composé de scientifiques désignés notamment en raison de leurs compétences en épidémiologie et en santé publique, doivent être circonscrites à l'appréciation de l'intérêt scientifique de la recherche envisagée, la CNIL conservant l'ensemble des prérogatives qui lui sont imparties par la loi du 6 janvier 1978 et la Convention du Conseil de l'Europe n° 108 du 28 janvier 1981, s'agissant du recours à l'utilisation de données nominatives et de l'appréciation de la pertinence des informations par rapport à la finalité du traitement, et n'étant de ce fait pas liée par l'avis de ce comité ;
Considérant en outre, qu'il n'est sans doute pas nécessaire que toutes les recherches en santé fassent l'objet d'avis du Comité National de la statistique pour la recherche en santé, qui ne manqueraient pas, par leur multiplication systématique, d'alourdir les procédures, qu'en conséquence la saisine de ce comité pouvait être facultative et laissée à l'initiative soit de l'organisme de recherche responsable du traitement soit de la CNIL ;

Considérant, que si ces dispositions sont de nature à renforcer la protection des données médicales à caractère personnel utilisées pour la recherche épidémiologique, il importe de s'interroger sur l'opportunité d'instituer un organisme nouveau, - alors qu'existent déjà dans le domaine de la recherche médicale des organismes qui ont notamment pour mission d'apprécier la validité scientifique des recherches ; qu'en tout état de cause, il est indispensable que soient clarifiées les missions et compétences respectives de ces organismes dont l'existence est rappelée en annexe ;

- Sur les certificats de décès :
Considérant qu'aux termes de l'article 9 du projet de loi, lorsque un traitement utilise des données issues des certificats de décès, les dispositions concernant l'information et le droit d'opposition ne seraient pas applicables, sauf si l'intéressé a par écrit, de son vivant exprimé son refus de figurer dans un fichier nominatif à des fins de recherche en santé ;
ESTIME qu'une telle disposition n'est pas opportune, dans la mesure où les ayants droit d'une personne décédée doivent pouvoir exercer ces droits, sauf lorsqu'il est impossible de les retrouver ; qu'il convient en conséquence de compléter les articles 26 et 27 de la loi du 6 janvier 1978 en mentionnant les ayants droit ; qu'en outre, cette disposition serait de nature à légaliser implicitement l'accès des chercheurs aux certificats de décès alors qu'il semble indispensable qu'un dispositif législatif précis intervienne pour fixer les conditions dans lesquelles les organismes de recherche pourraient utiliser les données indirectement nominatives issues des certificats de décès tout en respectant les dispositions de la loi du 3 janvier 1979 sur les archives qui ne prévoit la libre consultation des documents comportant des renseignements individuels de caractère médical, que 150 ans à compter de la date de naissance des individus concernés ;

- Sur les flux transfrontières de données :
RAPPELLE que, conformément à l'article 12 de la convention n° 108 du Conseil de l'Europe, dès lors qu'une protection équivalente est apportée par la législation du pays étranger, la libre circulation entre le territoire français et l'étranger, sous quelque forme que ce soit, d'informations nominatives faisant l'objet de traitements automatisés à des fins de recherches épidémiologiques, doit pouvoir être garantie ;

- Sur les sanctions pénales :
Considérant qu'il n'y a pas lieu d'instaurer en l'espèce de sanctions nouvelles en cas de manquement aux dispositions du projet de loi, les dispositions du chapitre VI de la loi du 6 janvier 1978 étant suffisantes à cet égard ;
EST D'AVIS que le projet de loi devrait tenir compte des observations qui précèdent. Le Président, Jacques FAUVET.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: