Annexe 5
Vu la délibération no 97 -008 du 4 février 1997 portant adoption d’une recommandation sur le traitement des données de santé à caractère personnel ;
Après avoir entendu Monsieur Alain Vidalies en son rapport et Madame
Charlotte-Marie Pitrat, commissaire du Gouvernement, en ses observations ;
La Commission considère que la mise en œuvre des sites Web consacrés à la
santé répond à un besoin légitime d’information du public. Toute personne
consultant un tel site doit se voir garantir la délivrance d’une information de
qualité mais aussi la protection de ses données personnelles.
La Commission a procédé à l’évaluation de sites de santé et à plusieurs vérifications sur place afin d’apprécier l’application des règles de protection des
données par les sites de santé. Elle a constaté que les dispositions de la loi
du 6 janvier 1978 ne sont pas appliquées de manière satisfaisante, s’agissant notamment de l’information des internautes sur l’utilisation qui peut être
faite de leurs données et sur leurs droits.
Les données de santé à caractère personnel, parce qu’elles relèvent de l’intimité de la vie privée, doivent faire l’objet d’une protection particulière,
exigée tant par l’article 6 de la convention no 108 du Conseil de l’Europe
que par l’article 8 de la directive européenne du 24 octobre 1995. À cet
égard la Commission réaffirme la pertinence de sa recommandation du 4 février 1997 sur le traitement des données de santé à caractère personnel : les
données de santé à caractère personnel ne peuvent être utilisées que dans
l’intérêt direct du patient et à des fins de santé publique, dans les conditions
définies par la loi.
Les données de santé revêtant un caractère directement ou indirectement nominatif, qu’elles aient été communiquées au site par l’internaute et/ou par
un professionnel de santé, ne devraient pas pouvoir être exploitées à des fins
commerciales ni transmises à quiconque à des fins commerciales ou de prospection commerciale. Le respect de ce principe devrait s’imposer aux sites
Web de santé appelés à recueillir des données nominatives de santé mais
aussi aux sociétés et organismes susceptibles de gérer et de conserver, pour
le compte de professionnels de santé ou d’établissements de santé, des dossiers médicaux accessibles sur Internet.
Le traitement des données de connexion associées à des données nominatives telles que l’adresse e-mail ou le nom de l’internaute, si elles ne révèlent
pas en tant que telles l’état de santé de l’internaute, revêtent toutefois une
sensibilité particulière. En effet, si de telles données issues des consultations
des pages des sites Web, étaient associées à des informations nominatives,
il serait à craindre qu’elles puissent être utilisées à des fins étrangères à l’intérêt de l’usager (compagnies d’assurance, employeurs, banques...). En
conséquence les internautes devraient être clairement informés des finalités
poursuivies et toute exploitation nominative des données de navigation ainsi
que toute cession à des tiers de telles données devraient être subordonnées
au consentement exprès de la personne concernée, recueilli par le biais
d’une case à cocher.
Enfin, compte tenu des risques de divulgation et d’utilisation détournée des
informations inhérents au réseau Internet, la confidentialité des informations
médicales nominatives appelées à circuler sur le réseau devrait être garantie
par le recours systématique à des moyens de chiffrement.
Le souci d’une meilleure application de la loi par les sites de santé conduit la
Commission à recommander la mise en œuvre des mesures suivantes.
e
CNIL 22 rapport d'activité 2001
213