Les principaux avis et décisions par secteur
que ”. En avril 1990, Distal informait la CNIL, par simple lettre, de l'existence
d'une carte “ Distal ” constituée d'un support cartonné mentionnant en clair, le nom
de l'abonné et ses codes d'accès au service et permettant à quiconque ayant
connaissance de ces données, d'accéder au dossier médical établi par l'intéressé.
Dès réception de cette lettre, la CNIL informait la société que la carte “ Distal ”
combinée avec les caractéristiques du service télématique du même nom, était a
priori incompatible avec l'article 29 de la loi du 6 janvier 1978 et que dans ces
conditions, le système dans son entier ne satisfaisait plus aux exigences de la loi.
B. L'appréciation du système au regard de la loi
Il ne s'agit pas pour la Commission de remettre en cause le principe
même du système ni l'utilité de la création d'une carte d'urgence dont il ne lui
appartient pas d'apprécier l'opportunité. En revanche, il lui revient de s'assurer que
le système mis en place respecte les dispositions de la loi, notamment son article 29.
Celui-ci dispose que “ toute personne ordonnant ou effectuant un traitement
d'informations nominatives s'engage de ce fait vis-à-vis des personnes concernées, à
prendre toutes précautions utiles afin de préserver la sécurité des informations et
notamment d'empêcher qu'elles ne soient déformées, endommagées ou
communiquées à des tiers non autorisés ”.
En l'espèce, le service télématique complété par la carte Distal ne permet pas
manifestement de garantir la sécurité des données enregistrées. En effet, la carte
mentionnant en clair les noms et codes d'accès de l'abonné, quiconque ayant
connaissance de ces éléments pourrait non seulement accéder au dossier médical de
l'intéressé mais encore en modifier le contenu à son insu. Par ailleurs, le système tel
qu'il est actuellement conçu ne présente pas suffisamment de garanties quant à la
qualité et à la fiabilité des informations enregistrées. Il permet à chaque abonné
de constituer directement son dossier médical sans aucune validation des données
par un médecin.
Aucun des arguments invoqués par la société pour défendre son
système sur le plan de la sécurité et de la confidentialité, ne peut être retenu.
Ainsi, elle fait observer que les informations enregistrées dans le dossier
d'urgence sont identiques aux catégories d'informations retenues pour la carte
d'urgence européenne. Or, si tel est le cas en effet pour la partie du service
relative au dossier minimum médical d'urgence, les données figurant sur la carte
européenne sont inscrites par un médecin, ou à tout le moins certifiées par une
signature et l'apposition d'un cachet. Ainsi, si le système prévoit que la date de
la dernière connexion sous un même code est affichée à l'écran lors de toute
utilisation, cette mesure n'est pas de nature en l'espèce à prévenir les conséquences d'une éventuelle utilisation malveillante. De même, le fait invoqué par
la société Distal, que l'intéressé est libre de porter ou non son numéro de code
sur sa carte, ceci n'étant qu'une simple faculté laissée à son entière responsabilité,
ne peut être retenu en l'espèce. La société Distal ne peut pas en effet
242