Le respect du secret médical sur l’internet

By 22 December 2012

Le respect du secret médical sur l’internet – Section 2 :

56- Ces difficultés dépassées, il reste à garantir que le secret médical puisse être respecté sur l’internet. En effet, les ordonnances électroniques, le dossier médical personnel, et plus largement « l’ensemble des informations concernant la personne venues à la connaissance du professionnel de santé »118, devraient pouvoir être utilisés sur l’internet dans la garantie de la protection des données à caractère personnel119. Les pharmaciens sont soumis au secret médical en vertu des dispositions générales du Code Pénal120, et plus particulièrement dans le cadre de l’acte de dispensation en vertu du Code de la santé publique121. Ce secret s’impose également à l’ensemble de leurs collaborateurs. Ainsi, dans le cadre des communications virtuelles, le pharmacien est responsable des données de santé122 nominatives, qui ne doivent en aucune façon être accessibles aux tiers.

Dès lors, la constitution de fichiers sur les patients à partir de l’internet devra respecter les obligations prévues par la loi Informatique et Libertés123. Le site qui collecte des données à caractère personnel devra faire l’objet d’une déclaration à la Commission nationale de l’Informatique et des Libertés, « CNIL ». En outre, les données de santé font l’objet du régime juridique le plus strict. L’article L. 1111- 8 du CSP, inséré par l’article 11 de la loi n°2002- 303 du 4 mars 2002, dispose que les professionnels de santé et les établissements de santé peuvent déposer des données médicales à caractère personnel, recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet. Cet hébergement de données ne peut avoir lieu qu’avec le consentement exprès de la personne concernée. Les conditions d’agrément des hébergeurs ont été fixées par le décret n° 2006- 6 du 4 janvier 2006 relatif à l’hébergement des données de santé. Ce décret introduit le régime de l’hébergement de ces données de santé à caractère personnel aux articles R. 1111- 9 à R. 1111- 16 du CSP. Il détermine les informations qui doivent être fournies à l’appui de la demande d’agrément, notamment les clauses qui doivent obligatoirement figurer obligatoirement dans les contrats d’hébergement. Il mentionne également les dispositions devant être prises pour garantir la sécurité des données traitées, impose des mécanismes informatiques de contrôle et de sécurité, ainsi que des procédures de contrôle interne. L’agrément pourra être retiré en cas de violation des prescriptions législatives et règlementaires relatives à cette activité ou des prescriptions fixées par l’agrément. Seules les personnes concernées par les données hébergées, les professionnels de santé et les établissements de santé désignés par la personne intéressée peuvent avoir accès à ces données. Les hébergeurs ne peuvent utiliser les données de santé à caractère personnel à d’autres fins et ne peuvent les transmettre à d’autres personnes que celles désignées par le contrat. L’agrément est valable pour trois ans renouvelables. Lorsqu’il est mis fin à l’hébergement, le prestataire informatique doit restituer les données à la personne qui les lui a confiées et ne peux en conserver de copie. Les hébergeurs et les personnes placées sous leur autorité qui ont accès aux données de santé déposées sont soumis au secret professionnel. Les exigences fixées par le décret précité sont précises et la protection des données hébergées passe avant tout par la politique de confidentialité et de sécurité fournie à l’appui de la demande d’agrément124. Le régime de l’hébergement des données de santé à caractère personnel et les conditions d’agrément sont extrêmement stricts car ces données sont considérées comme « sensibles » et ne doivent pouvoir être utilisées à des fins commerciales.

Par ailleurs, la CNIL autorise une déclaration de conformité à une norme simplifiée, lorsque les pharmaciens traitent des données à caractère personnel à des fins de gestion de l’officine et d’analyse statistique des ventes de médicaments, produits de santé et dispositifs médicaux125. Une norme simplifiée pourrait être établie à la destination des pharmaciens qui utilisent des données personnelles de patients à des fins de commercialisation de médicaments : elle comprendrait de la même manière les conditions précises concernant la finalité du traitement, la nature des données, les destinataires, la durée de conservation des données ainsi que les règles de sécurité à respecter. Il nous semble que l’interdiction d’exploiter les données à des fins commerciales qui figure dans la norme simplifiée susvisée pourrait même être maintenue. En effet, la constitution de fichiers nominatifs ne doit pas permettre leur exploitation à des fins commerciales, elle ne doit permettre que leur « utilisation », à des fins « médicales ».

Les méthodes de cryptage employées pour l’établissement de la carte Vitale 2 pourraient également être utilisées dans le cadre d’une officine électronique. En effet, ces méthodes de cryptage permettent la transmission sécurisée des données entre professionnels ; il suffirait alors de les appliquer à la circulation des données entre professionnels et patients.

57- Enfin, l’hébergement et le traitement des données personnelles du patient nécessiteront son consentement exprès préalable. La note de synthèse accompagnant la recommandation de la CNIL du 8 mars 2001 rappelle la nécessaire information des personnes fichées, en cas de profilage des internautes à partir des données de navigation : les données de connexion ne peuvent pas être exploitées sous forme directement ou indirectement nominative, sans que le consentement de la personne intéressée n’ait été recueilli. Afin d’éviter le croisement des données pouvant intéresser d’autres acteurs de la santé, en particulier les assurances, la CNIL précise que ces données ne sauraient être transmises à des tiers sans que la personne concernée n’y ait consenti.

Toutefois, la protection des données personnelles est une garantie qu’il est parfois difficile à mettre en œuvre sur l’internet. Ainsi en témoigne la difficile mise en service du dossier médical personnel à ce jour. La loi du 13 août 2004 indiquait que les Français de plus de seize ans disposeraient d’un dossier médical personnel, au plus tard le 1er juillet 2007. Ce système vise à centraliser l’ensemble des informations de santé de chaque assuré social dans le but d’assurer une meilleure coordination des soins. L’assuré pourra accéder à son dossier par voie informatique en connexion sécurisée. Il déterminera quels professionnels de la santé sont autorisés à y avoir accès, sous réserve qu’il ne s’agisse pas de mutuelles ou de compagnies d’assurance. Or, son lancement a été retardé en raison d’un certain nombre d’insuffisances relatives à la sécurité des données relevées par la Commission Nationale de l’Informatique et des Libertés. La désignation de l’hébergeur du dossier médical personnel est cependant prévue pour le mois de septembre 2007.

Lire le mémoire complet ==> (La vente de médicaments sur l’internet)
Mémoire pour le master droit des contrats et de la responsabilité des professionnels
Université de Toulouse I Sciences sociales

Sommaire :

___________________________________________
118 Cf. article L. 1110- 4 du CSP. En ce sens, voir également les articles R. 4235- 5 du CSP et L. 226-13 du Code pénal.
119 L’article 2 de la loi du 6 janvier 1978 définit une donnée à caractère personnel comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».
120 Article L. 226- 13 du Code pénal.
121 Articles R. 5015- 5 et R. 5015- 55 du CSP.
122 L’article 1111- 8 du CSP fait égard aux « données de santé à caractère personnel, recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet ».
123 Voir l’article 19 de la loi n° 78- 17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés qui vise à prendre toute disposition pour assurer la sécurité des informations circulant en informatique.
124 Voir le commentaire du décret n° 2006- 6 du 4 janv ier 2006 relatif à l’hébergement de données de santé, Alexis Baumann, 10 janvier 2006, http://www.juripole.fr/Articles/A20060110-decret-sur-l-hébergement-de-donnees-de-sante.php
125 Délibération n° 2006- 161 du 8 juin 2006, JO du 5 juillet 2006, formulaire téléchargeable sur le site de la CNIL www.cnil.fr