Saisie par le gouvernement sur la question de l'accès au dossier médical personnel (1) prévu par le projet de loi réformant l'assurance maladie, la commission nationale de l'informatique et des libertés (CNIL) a rendu public son avis, à l'occasion de la présentation de son rapport annuel le 22 juin (2).
Tout d'abord, la commission rappelle que, parmi les garanties de nature à assurer la protection des données figurant au dossier, il faut compter sur « le recueil nécessaire de l'accord de la personne au partage des données médicales ». Car celle-ci a droit au respect de sa vie privée et au secret des informations la concernant tel que défini dans la loi du 4 mars 2002 sur les droits des malades (3). La commission insiste sur le « consentement exprès de la personne concernée ». Bien qu'estimant que « ce consentement n'est pas totalement libre » dans la mesure où le niveau de prise en charge des actes et prestations est subordonné à l'accès du professionnel de santé au dossier, la CNIL juge cependant que l'instauration du dossier médical personnel est justifiée par un motif d'intérêt public : « la coordination, la qualité et la continuité des soins » et l'amélioration de « la pertinence du recours au système de soins », selon les termes du projet de loi .En outre, précise la commission, si le traitement informatique des données de santé est interdit, un Etat peut néanmoins, comme le permet une directive européenne, déroger à cette règle à condition que des « garanties appropriées » soient prises.
En conséquence, l'avis suggère que la loi soit complétée par une disposition rappelant que les données médicales sont « couvertes par le secret professionnel » tel que défini dans le code pénal et que « quiconque aura obtenu ou tenté d' [en] obtenir la communication en violation du présent article s'exposera à des sanctions pénales, de même que quiconque aura modifié ou tenté de modifier les informations portées sur ce même dossier ». S'agissant de la mise sur le réseau Internet du dossier médical personnel, la commission estime qu'elle ne pourra se faire que si « des normes de sécurité extrêmement strictes sont imposées tant aux professionnels de santé qu'aux organismes appelés à héberger les données ». La CNIL recommande aussi d'inclure dans la loi l'interdiction de toute commercialisation des données de santé directement ou indirectement nominatives.
Enfin, la commission rappelle « la nécessité d'une information claire de la personne sur les modalités de constitution, de mise à jour, d'utilisation et de conservation » des données médicales ainsi que sur les conditions dans lesquelles elle pourra elle-même y avoir accès. Et que « les modalités retenues pour l'identification et l'authentification [du professionnel de santé], en particulier le recours à la carte de professionnel de santé, devront aussi être définies ».
(1) Voir ASH n°2364 du 18-06-04.
(2) 24e rapport d'activité 2003 - CNIL - Ed. 2004 - La Documentation française - Disponible sur
(3) Voir ASH n° 2262-2263 du 17-05-02.