1 / Le numérique, entre promesses et instabilités juridiques face aux menaces
L’algorithme est déjà présent là où nous ne l’imaginons pas
Les besoins qui en dépendent passent désormais pour acquis. Le transfert des activités économiques et sociales aux secteurs du virtuel est tel qu’il relie parfaitement l’esprit libéral et les bénéfices attendus, notamment avec « l’uberisation » de tous les services. Le potentiel numérique en termes de gain ne laisse aucun doute a priori.
Il existe toutefois une contrepartie puisque le numérique peut désolidariser les individus qui se veulent connectés au monde, comme habités par une nouvelle identité à naître. Dans le même temps, la protection des données concerne tout le monde et rend indispensable une réponse publique.
Le domaine de la prévention
Les rapports internationaux et la cohérence du système juridique s’en trouvent donc déstabilisés, par exemple lorsque les données à caractère personnel utiles au service public sont stockées (1) auprès d’un tiers de droit étranger ou captées par les pirates des temps modernes.
Les « métiers du care » n’y échappent pas car bien des avantages sont en vue, qu’il soit question de performance et de disponibilité de l’information ou de portabilité de l’identité du patient (re)devenu consommateur exigeant.
Une critique nourrie et en phase avec les dangers contemporains
Dans le sillage des affaires de cybercriminalité (Ashley Madison, TV5 Monde, un hôpital de Los Angeles, etc.), la vulnérabilité des institutions détentrices de données sensibles est pointée du doigt en France. Les cyberattaques ont déjà pu viser près de 3 entreprises sur 4 en Europe de l’Ouest.
Quelques auteurs vont plus loin que la seule crainte d’une violation de la vie privée, certains décrivent les TIC comme « technologies agissantes » qui, d’un rôle a priori libérateur, viennent alimenter un processus de normalisation (Vincent de Gaulejac). Ces outils présentent donc un revers, une forme d’asservissement au nom de la science du chiffre et de la gestion, pour une gouvernance qui n’est pas celle de tous, ni celle de chacun.
Le professeur Antoinette Rouvroy évoque les mots « data-behaviourism » (cf. travaux et publications – Université de Namur, en Belgique). En cela, on peut s’interroger sur le fait de savoir si l’offre ne prédétermine pas la demande au point de développer plus rapidement les services que la sécurité. En effet, le professeur Antoinette Rouvroy cite Deleuze et Spinoza en ce que, dans la mesure où le désir précède l’individu comme le « data-behaviourism » prédit la volonté, l’être s’efface un peu, remplacé par un champ de données de profilage.
Si la transparence (2) et l’éthique tendent à dominer les objectifs affichés au sein des institutions, Frédéric Lordon explique qu’elles présentent comme premier intérêt d’occulter les causes en ne ciblant que les effets. Ainsi le « comment » gomme le « pourquoi », comme le court-terme fait disparaître le long-terme.
Les principes structurants
A côté de la loi du 6 janvier 1978, le secret médical constitue, avec l’article 9 du code civil (3) et le code de la santé publique, la trame d’un minimum de garanties pour le patient et ses ayants-droit.
Le secret médical (article R.4127-4 du code de la santé publique) est éprouvé par la numérisation.
Si toute personne prise en charge par un professionnel, un établissement, un réseau de santé ou tout autre organisme participant à la prévention et aux soins, a droit au respect de sa vie privée et au secret des informations la concernant, cela induit que les institutions doivent se doter d’un haut niveau de protection des données.
Le droit d’accès du patient aux données le concernant : c’est l‘articleL. 1111-7 ducodedelasantépublique qui en détaille les modalités.
Le droit du patient au respect de sa vie privée et au secret des informations le concernant est posé dans l‘articleL. 1110-4 alinéa 1 ducodedelasantépublique.
Un droit d’opposition est précisé à l’article L. 162-1-14-II 8e du code de la sécurité sociale (6).
Nota bene : un écueil est à éviter pour bien distinguer l’anonymat de la confidentialité (7).
Sommairement, quel est donc le niveau de protection juridique des données de santé face aux manipulations pourtant espérées, notamment pour la recherche et les prédictions épidémiologiques ?
2 / Les aspects curatifs et coercitifs pour lutter contre la cybercriminalité
Lancé en 2011, le programme HôpitalNumérique, piloté par la DGOS, constitue la politique nationale à cinq ans (2012-2017) relative aux systèmes d’information hospitaliers.
Extraits de la loi du 26 janvier 2016 (4) :
– Article 24 : « Les lettres de liaison peuvent être dématérialisées. Elles sont alors déposées dans le dossier médical partagé du patient et envoyées par messagerie sécurisée aux praticiens concernés ».
– Article 25 : « Le partage, entre des professionnels ne faisant pas partie de la même équipe de soins, d’informations nécessaires à la prise en charge d’une personne requiert son consentement préalable, recueilli par tout moyen, y compris de façon dématérialisée dans des conditions définies par décret pris après avis de la Commission nationale de l’informatique et des libertés ».
Sur le régime de la communication : CAA de Paris, arrêt du 30 septembre 2004 (5).
La saisine en référé : l’urgence et la gravité de l’atteinte
Article 47-III de la Loi 78-17 du 6 janvier 1978 dite « informatique et liberté » modifiée par la loi 2004-801 du 6 août 2004 : « En cas d’atteinte grave et immédiate aux droits et libertés », le président de la CNIL « peut demander, par la voie du référé, à la juridiction compétente d’ordonner, le cas échéant sous astreinte, toute mesure de sécurité nécessaire à la sauvegarde de ces droits et libertés ».
Sous l’angle répressif
1. Les peines encourues pour une atteinte aux Systèmes de Traitement Automatisé de Données (articlesL.323-1 etsuivantsduCodepénal).
2. Les peines encourues, même en cas de négligence, pour une atteinte aux droits individuels liés aux fichiers ou traitements informatiques (articles 226-16 à 226-24 duCodepénal).
La réponse la plus adaptée en termes de sécurisation des données devra s’étendre à une dimension européenne (le règlement sera préconisé à la défaveur des précédentes directives) et, idéalement, elle devrait être internationale au sens large.
En conclusion les algorithmes sous-tendent un enjeu de pouvoir et de contrôle quand ils garantissent pourtant de réels progrès, notamment pour palier à la perte de proximité d’avec les médecins ou pour obtenir plus rapidement un médicament, le diagnostic étant déjà orienté par le biais d’Internet. Mais n’est-ce pas déjà inutile que d’appeler à la prudence, si la loi de l’offre et de la demande a toujours ou presque le premier et… le dernier mot ?.
NOTES
(1) L’article 34 bis de loi du 6 janvier 78 soumet le fournisseur de services de communications électroniques à une obligation de notifier les failles sans délai à la CNIL et à l’intéressé.
La directive NIS (n’entrerait en vigueur qu’en 2018) exige une telle notification dans les 72h auprès de l’Autorité de contrôle (projet de règlement européen art. 31 et 32), amende encourue à hauteur de 10 millions d’euros ou 2 % du chiffre d’affaires de la société (projet de règlement européen art. 79-3-a). Les autorités nationales de protection des données devront aussi publier un rapport sur les failles qui leur ont été notifiées (projet de règlement européen art. 54).
(2) Sur le renforcement de l’obligation de transparence que prévoit la loi 2016-41 du 26 janvier 2016 sur la coordination du parcours du patient, le Conseil Constitutionnel venait de l’entériner en estimant que l’atteinte à la vie privée était justifiée par « l’exigence constitutionnelle de protection de la santé et l’objectif d’intérêt général de prévention des conflits d’intérêt ».
(3) Code civil, Article 9 : « Chacun a droit au respect de sa vie privée ».
« Les juges peuvent, sans préjudice de la réparation du dommage subi, prescrire toutes mesures, telles que séquestre, saisie et autres, propres à empêcher ou faire cesser une atteinte à l’intimité de la vie privée : ces mesures peuvent, s’il y a urgence, être ordonnées en référé ».
(4) Loi 2016-41 du 26 janvier 2016.
3 / Renforcer les outils proposés aux professionnels pour leur permettre d’assurer la coordination du parcours de leurs patients
Article 24 (concerne la lettre de liaison entre professionnels de santé) :
« Le praticien qui adresse un patient à un établissement de santé accompagne sa demande d’une lettre de liaison synthétisant les informations nécessaires à la prise en charge du patient ».
« Le praticien qui a adressé le patient à l’établissement de santé en vue de son hospitalisation et le médecin traitant ont accès, sur leur demande, aux informations mentionnées au premier alinéa du I. (…) « Ces praticiens sont destinataires, à la sortie du patient, d’une lettre de liaison comportant les éléments utiles à la continuité des soins rédigée par le médecin de l’établissement en charge du patient ».
« La lettre de liaison mentionnée à l’alinéa précédent est, dans le respect des exigences prévues aux quatrième et cinquième alinéas de l’article L. 1111-2, remise au patient ou à la personne de confiance au moment de sa sortie ».
« Les lettres de liaison peuvent être dématérialisées. Elles sont alors déposées dans le dossier médical partagé du patient et envoyées par messagerie sécurisée aux praticiens concernés ».
Article 25 :
« Toute personne prise en charge par un professionnel de santé, un établissement ou un des services de santé définis au livre III de la sixième partie, un établissement ou service social et médico-social mentionné au I de l’article L. 312-1 du code de l’action sociale et des familles, a droit au respect de sa vie privée et du secret des informations le concernant ».
« Excepté dans les cas de dérogation expressément prévus par la loi, ce secret couvre l’ensemble des informations concernant la personne venues à la connaissance du professionnel, de tout membre du personnel de ces établissements, services ou organismes et de toute autre personne en relation, de par ses activités, avec ces établissements ou organismes. Il s’impose à tous les professionnels intervenant dans le système de santé ».
« Lorsque ces professionnels appartiennent à la même équipe de soins au sens de l’article L. 1110-12, ils peuvent partager les informations concernant une même personne qui sont strictement nécessaires à la coordination ou à la continuité des soins ou à son suivi médico-social et social. Ces informations sont réputées confiées par le patient à l’ensemble de l’équipe ».
« Le partage, entre des professionnels ne faisant pas partie de la même équipe de soins, d’informations nécessaires à la prise en charge d’une personne requiert son consentement préalable, recueilli par tout moyen, y compris de façon dématérialisée dans des conditions définies par décret pris après avis de la Commission Nationale de l’Informatique et des Libertés ».
NOTES
(5) Un arrêt rendu par la Cour Administrative d’Appel de Paris du 30.09.2004 rappelle que les conditions de cette communication sont prévues par l’article L. 1111-7 du code de la santé publique, auquel renvoie le II de l’article 6 de la loi du 17 juillet 1978, et les articles R. 1111-1 et suivants du même code.
(6) Article L. 162-1-14-II 8e du code de la sécurité sociale : « 8. Le refus par un professionnel de santé de reporter dans le dossier médical personnel les éléments issus de chaque acte ou consultation, dès lors que le patient ne s’est pas explicitement opposé au report de cet acte ou consultation dans son dossier médical personnel ».
(7) La confidentialité (à laquelle est tenu le professionnel de santé) doit être distinguée de l’anonymat (lorsqu’une partie des données est transférée ou exploitée, notamment pour la surveillance épidémiologique par codage informatique irréversible). L’anonymat concerne une personne qui n’est juridiquement identifiée à l’hôpital que dans 6 hypothèses : le don et l’utilisation des éléments et produits du corps humain, l’accouchement sous X, l’hospitalisation des toxicomanes en cas d’admission volontaire, le contrôle des établissements de santé, la surveillance épidémiologique et, les CDAG et les CIDDIST.
D’AUTRES SOURCES D’INFORMATION
