Délibération n° 01-011 du 08 mars 2001 de la Commission Nationale de l'Informatique et des Libertés (CNIL) portant adoption d'une recommandation sur les sites de santé destinés au public
Vu la convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé de données à caractère personnel, et notamment son article 6 ;
Vu la directive 95/46/CE du Parlement européenne et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et notamment en son article 8 ;
Vu la loi 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés;
Vu les articles 226-13 et 226-14 du code pénal relatifs au secret professionnel ;
Vu le code de la santé publique ; Vu le décret n° 78-774 du 17 juillet 1978 pris pour l'application de la loi du 6 janvier 1978, et notamment son article premier ;
Vu le décret n° 95-100 du 6 septembre 1995 portant code de déontologie médicale ;
Vu la délibération n° 97- 008 du 4 février 1997 portant adoption d'une recommandation sur le traitement des données de santé à caractère personnel ;
Après avoir entendu Monsieur Alain Vidalies en son rapport et Madame Charlotte-Marie Pitrat, commissaire du Gouvernement, en ses observations ;
en oeuvre des sites web consacrés à la santé grand public répond à un besoin légitime d'information du public. Toute personne consultant un tel site doit se voir garantir la délivrance d'une information de qualité, mais aussi la protection de ses données personnelles.
La Commission a procédé à l'évaluation de sites de santé et à plusieurs vérifications sur place afin d'apprécier l'application des règles de protection des données par les sites de santé. Elle a constaté que les dispositions de la loi du 6 janvier 1978 ne sont pas appliquées de manière satisfaisante, s'agissant notamment de l'information des internautes sur l'utilisation qui peut être faite de leurs données et sur leurs droits.
Les données de santé à caractère personnel, parce qu'elles relèvent de l'intimité et de la vie privée doivent faire l'objet d'une protection particulière, exigée tant par l'article 6 de la convention n° 108 du Conseil de l'Europe que par l'article 8 de la directive européenne du 24 octobre 1995. A cet égard la Commission réaffirme la pertinence de sa recommandation du 4 février 1997 sur le traitement des données de santé à caractère personnel : les données de santé à caractère personnel ne peuvent être utilisées que dans l'intérêt direct du patient et à des fins de santé publique, dans les conditions définies par la loi.
Les données de santé revêtant un caractère directement ou indirectement nominatif, qu'elles aient été communiquées au site par l'internaute et/ou par un professionnel de santé ne devraient pas pouvoir être exploitées à des fins commerciales ni transmises à quiconque à des fins commerciales ou de prospection commerciale. Le respect de ce principe devrait s'imposer aux sites web de santé appelés à recueillir des données nominatives de santé mais aussi aux sociétés et organismes susceptibles de gérer et de conserver, pour le compte de professionnels de santé ou d'établissements de santé, des dossiers médicaux accessibles sur Internet.
Le traitement des données de connexion associées à des données nominatives telles que l'adresse e-mail ou le nom de l'internaute, si elles ne révèlent pas en tant que telles l'état de santé de l'internaute, revêtent toutefois une sensibilité particulière. En effet, si de telles données issues des consultations des pages des sites web, étaient associées à des informations nominatives, il serait à craindre qu'elles puissent être utilisées à des fins étrangères à l'intérêt de l'usager (compagnies d'assurance, employeurs, banques...). En conséquence les internautes devraient être clairement informés des finalités poursuivies et toute exploitation nominative des données de navigation ainsi que toute cession à des tiers de telles données devraient être subordonnées au consentement exprès de la personne concernée recueilli par le biais d'une case à cocher.
Enfin, compte tenu des risques de divulgation et d'utilisation détournée des informations inhérant au réseau Internet, la confidentialité des informations médicales nominatives appelées à circuler sur le réseau devrait être garantie par le recours systématique à des moyens de chiffrement.
Le souci d'une meilleure application de la loi par les sites de santé conduit la Commission à recommander la mise en oeuvre des mesures suivantes :
Indication de la raison sociale et du siège social du site
L'indication de la raison sociale et du siège social du site devrait apparaître clairement dès la page d'accueil ou dans une rubrique accessible dès la page d'accueil (par exemple sous le titre "Qui sommes-nous").
En outre, l'identité de la personne désignée pour assurer le respect des règles de protection des données et en particulier de la confidentialité des données de santé devrait être précisée.
Création d'une rubrique
Une rubrique d'information devrait être conçue de façon distincte sous un titre spécifique et être accessible dès la page d'accueil. Le texte de cette rubrique devrait être concis et rédigé clairement, afin d'être compréhensible par chacun. Le responsable du site devrait y indiquer :
Qu'en France et en Europe les données personnelles de santé sont protégées par la loi (article 226-13 du code pénal, loi du 6 janvier 1978, directive européenne du 24 octobre 1995). Qu'au cours de la navigation sur le site, selon les pages visitées ou les services qui intéressent l'internaute, il pourra être amené à communiquer des informations le concernant susceptibles de révéler son état de santé. Que les données de santé revêtant un caractère directement ou indirectement nominatif, qu'elles aient été communiquées par l'internaute et/ou par un professionnel de santé ne font l'objet d'aucune exploitation commerciale et ne sont transmises à quiconque à des fins commerciales ou de prospection commerciale.
Si les données collectées auprès de l'internaute ou résultant de sa navigation sur le site sont réservées à un usage strictement interne ou non.
Quel usage sera fait de l'adresse e-mail et/ou des coordonnées (nom et/ou adresse) de l'internaute dans le cas où ceux-ci sont collectés.
Qu'en aucun cas la cession ou la mise à disposition à des tiers, à des fins commerciales, de l'adresse e-mail ou des coordonnées de l'internaute, (à l'exclusion de toutes données relatives à l'état de santé réel ou présumé de ce dernier) ne pourra être opérée sans qu'il ait été préalablement mis en mesure de s'y opposer, par le biais d'un case à cocher.
Que l'internaute qui aura communiqué son adresse e-mail et/ou ses coordonnées pourra à tout moment se faire radier de tout fichier et de tout traitement auxquels ces informations ont donné lieu.
Si les données de connexion seront ou non exploitées sous une forme directement nominative ou non.
Quelles exploitations éventuelles des données de connexion sous une forme nominative sont réalisées. Dans une telle hypothèse, il devrait être précisé à l'internaute si ces données sont ou non susceptibles d'être mises à la disposition de tiers, notamment à des fins commerciales. Dans les deux cas, une telle exploitation des données de connexion associées à des données nominatives ne peut être réalisée qu'avec l'accord des personnes, recueilli par le biais d'une case à cocher.
Lorsque des cookies sont utilisés, les buts poursuivis par leur mise en oeuvre ainsi que les conséquences de leur désactivation par l'internaute.
La durée de conservation des informations directement nominatives (adresse e-mail, coordonnées, données de santé et autres...) ainsi que la durée de conservation des données de connexion. Ces durées doivent être limitées et proportionnelles aux finalités du traitement de telles données.
Les coordonnées ou l'adresse e-mail du service ou du correspondant en charge de répondre aux demandes de droit d'accès de rectification et de suppression présentées par les internautes. Ce droit devrait pouvoir s'exercer à tout moment en ligne.
Collecte directe de données auprès de l'internaute
Toute collecte directe de données auprès de l'internaute (sous forme ou non de questionnaire) devrait être accompagnée d'une information précisant, sur le support de collecte, le caractère obligatoire ou facultatif du recueil de chaque information demandée (par exemple par le biais d'un astérisque).
Dans l'hypothèse où il est envisagé de mettre à la disposition ou de céder à des tiers à des fins commerciales des données telles que l'adresse e-mail ou les coordonnées de l'internaute, à l'exclusion de toutes données relatives à l'état de santé réel ou présumé de ce dernier, l'internaute doit être mis en mesure de pouvoir s'y opposer en ligne par le biais d'une case à cocher devant figurer sur le support de collecte.
A défaut d'une telle mention sur le support de collecte, les données seront supposées être destinées à un usage exclusivement interne.
Mesures de confidentialité et de sécurité
Des mesures de sécurité reposant notamment sur le recours à des moyens de chiffrement ainsi que sur des dispositifs de journalisation des connexions devraient être mises en place pour assurer l'intégrité et la confidentialité des données.
Le contrat passé avec un hébergeur tiers devrait comporter des clauses prévoyant les nécessaires mesures destinées à assurer la sécurité des données, ainsi que leur seuls accès et utilisation par des personnes habilitées à en connaître.
Ces mesures doivent être portées à la connaissance de la CNIL lors de l'accomplissement des formalités préalables.
Forum de discussion
Une mention d'information devrait préciser que l'espace de discussion est destiné à permettre aux internautes d'apporter leur contribution aux thèmes de discussion proposés et que les données qui y figurent (adresse e-mail et/ou coordonnées notamment) ne peuvent être collectées ou utilisées à d'autres fins, et tout particulièrement à des fins commerciales ou de prospection.
Il est recommandé qu'un modérateur soit chargé de supprimer les contributions susceptibles d'engager la responsabilité du site ou de porter atteinte à la considération ou l'intimité de la vie privée d'un tiers.
La possibilité de participer au forum sans avoir à s'identifier devrait être offerte à l'internaute, notamment lorsque l'espace de discussion comporte un modérateur.
Les intervenants devraient être informés de leur droit de demander à tout moment la suppression de leurs contributions en s'adressant au service en charge du droit d'accès.
Le développement des sites de santé sur internet conduit la Commission à souhaiter que le principe de l'interdiction de toute commercialisation de données de santé directement ou indirectement nominatives soit posé par la loi, comme l'est déjà, dans le code de la santé publique, l'interdiction d'utiliser à des fins de prospection commerciale des données relatives aux prescriptions des médecins lorsqu'elles revêtent à leur égard un caractère directement ou indirectement nominatif.
Par ailleurs la possibilité désormais offerte par des sociétés de services d'assurer l'hébergement de dossiers de santé, accessibles par Internet, conduit la Commission, à appeler l'attention des pouvoirs publics sur la nécessité de prévoir des garanties sérieuses de nature à prévenir tout risque de divulgation ou d'utilisation indue des données et d'envisager, le cas échéant, une procédure d'agrément de tels organismes.
Le Président, Michel GENTOT