Délibérations adoptées en 2001
Elle estime que le document présenté sous forme de charte qui sera remis à
l’usager lors de la création du dossier de santé électronique devra indiquer
clairement les modalités prévues de constitution, de mise à jour et d’accès au
dossier ainsi que les conséquences de l’utilisation, par les professionnels de
santé dudit dossier, les conditions dans lesquelles l’usager pourra lui-même
accéder directement aux informations contenues dans ce dossier et, éventuellement, les cas où il devra s’adresser à un médecin pour obtenir communication de certaines des informations contenues dans ce dossier et enfin,
l’identité de la société appelée à héberger les dossiers ainsi que les engagements de confidentialité prises par celle-ci.
La Commission considère que la remise de ce document doit être préalable au
recueil du consentement exprès de l’usager pour la constitution de son dossier
de santé, ce consentement pouvant être retiré et/ou modifié à tout moment.
Sur les conditions d’accès et de validation des informations
par les professionnels de santé
La Commission observe que, dans le cadre de la phase expérimentale du
projet, les accès des professionnels de santé seront assurés par des procédures de codes d’accès et de mots de passe attribués par le médecin désigné
comme administrateur fonctionnel du réseau après que l’identité et la qualité
des médecins ait été vérifiée auprès du Conseil de l’Ordre ; qu’à terme,
l’identification, l’authentification ainsi que la signature électronique du professionnel de santé seront assurés par la carte de professionnel de santé.
La Commission estime que le recours à ce procédé permet d’assurer effectivement l’identification et l’authentification du professionnel de santé ; que
chaque professionnel de santé participant au réseau devra en être doté dans
les délais les plus rapides ; qu’à défaut, il conviendra que dans un délai de
six mois à compter de la publication du décret d’application de la loi du 13
août 2000, un procédé de signature électronique soit mis en place.
La Commission estime, en outre, que la participation des professionnels de
santé au réseau devra s’accompagner d’une définition précise, par voie contractuelle, des conditions de leur adhésion et de leur responsabilité respective dans la gestion sur Internet des dossiers médicaux de leurs patients.
Sur l’intervention de sociétés commerciales dans le traitement du dossier
de santé sur Internet
Le projet prévoit que l’exploitation du serveur hébergeant les dossiers de
santé électroniques est assuré en France par la société Accenture.
La Commission estime que l’intervention de sociétés commerciales dans la
gestion des systèmes d’informations de santé appelle une vigilance particulière et qu’elle doit s’entourer de garanties appropriées de nature à éviter en
particulier toute utilisation des données à des fins autres que celles pour lesquelles elles ont été collectées ainsi que toute cession à des tiers.
À cet égard, la Commission prend acte des dispositifs de sécurité retenus
pour assurer la sécurité physique et logique des dossiers de santé. Les informations appelées à circuler sur le réseau Internet feront l’objet d’un chiffrement à 128 bits suivant le protocole SHL et le déchiffrement des données ne
pourra être effectué que par les professionnels de santé disposant de droits
d’accès aux données.
220
e
CNIL 22 rapport d'activité 2001