Annexe 5
La base nationale ainsi constituée dans les locaux de l’Institut de veille sanitaire sera placée sous la responsabilité d’un médecin nommément désigné
qui recevra les données des registres de cancer et de l’INSERM sous pli
confidentiel en recommandé. Aucune connexion à Internet ne sera possible
à partir de l’ordinateur sur lequel sera implanté le traitement. Des mesures de
sécurité physique sont prévues et l’accès logique à l’application sera subordonné, en particulier, à des mots de passe individuels.
La Commission prend acte de ces mesures de sécurité mais estime toutefois
souhaitable, au vu de la diversité des missions confiées par le législateur à
l’Institut de veille sanitaire et de la multiplicité des applications informatiques
appelées à être gérées par l’Institut qu’une évaluation de l’ensemble du système de sécurité soit effectuée. La Commission prend également acte de l’engagement de l’Institut de veille sanitaire à ne pas publier les résultats sous
une forme qui permettrait l’identification des individus.
La Commission rappelle qu’aux termes de l’article 40-5 de la loi du 6 janvier
1978 modifiée, toute personne à qui il est proposé de participer à une recherche doit être individuellement informée de la finalité du traitement des
données, de la nature des informations transmises, des personnes appelées
à être destinataires des données et des modalités pratiques d’exercice du
droit d’accès et de rectification.
La loi prévoit, par ailleurs, les cas où il peut être dérogé à cette obligation
d’information individuelle lorsque le malade est tenu dans l’ignorance de
son pronostic — le médecin traitant n’ayant pas estimé, en conscience, devoir informer son patient de la nature de son mal — ou lorsque les donnés ont
été initialement recueillies pour un autre objet que le traitement et qu’il est
difficile de retrouver les personnes concernées.
La Commission a considéré, s’agissant des registres de cancer, que les demandes de dérogation à l’obligation d’information individuelle devaient
être appréciées au cas par cas par les médecins en charge des patients.
Elle a cependant estimé qu’il incombait aux registres du cancer de diffuser
auprès des professionnels de santé participant aux registres une note d’information susceptible d’être remise aux patients qui comporte l’ensemble des
points énumérés à l’article 40-5 précité.
La Commission considère qu’il importe que cette note d’information soit complétée afin que le traitement mis en œuvre par l’Institut de veille sanitaire
pour la surveillance nationale du cancer soit mentionné.
Autorise, compte tenu de ces observations, la mise en œuvre par l’Institut
de veille sanitaire d’un traitement automatisé d’informations indirectement
nominatives ayant pour finalité la constitution d’un système de surveillance
national du cancer à partir des données de morbidité transmises par les registres de cancer et des données de mortalité transmises par le service commun 8 de l’INSERM chargé de la gestion des causes médicales de décès.
Recommande, compte tenu des missions imparties par la loi à l’Institut de
veille sanitaire et des applications informatiques appelées à être hébergées
dans ses locaux de procéder à une évaluation des mesures de sécurité mises
en œuvre pour garantir la confidentialité des informations en liaison avec la
direction centrale de la sécurité des systèmes d’information.
e
CNIL 22 rapport d'activité 2001
259