LES FLUX TRANSFRONTIERES DE DONNEES MEDICALES EN EUROPE

Le site de l'Ordre des medecins avait été réalisé et hébergé initialement par l'Ecole des mines de Paris (CRI : R. Mahl). Ce site est désormais accessible à une nouvelle URL

LES FLUX TRANSFRONTIERES DE DONNEES

MEDICALES EN EUROPE

LA DIRECTIVE EUROPEENNE DU 24 OCTOBRE 1995.

Louise CADOUX

Vice-Présidente de la CNIL

1. Deux observations liminaires en guise d'introduction :

1.1. Les données médicales sont, directement ou indirectement, traitées dans la directive européenne, à trois reprises :

très directement, elles sont citées au nombre des données dites sensibles, article 8 de la directive, ce qui est une novation par rapport à la loi française dite Informatique et Libertés du 6 janvier 1978

indirectement, dans la définition des "données à caractère personnel"; cette définition qui figure à l'article 2 de la directive, dispose qu'est réputée identifiable une personne qui peut être identifiée directement ou indirectement, notamment par référence à "un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique,.."; toutes caractéristiques qui sont la matière première de l'activité médicale; le considérant 14 de la directive précise que l'image et le son sont visées par le régime protecteur des données personnelles qu'elle institue; on songe bien évidemment, à toutes les applications d'imagerie médicale;

plus indirectement encore, dans la mesure où la directive traite avec des ménagements particuliers, "les traitements à des fins historiques, statistiques ou scientifiques", expression qui ne peut manquer de concerner la recherche médicale et épidémiologique.

1.2. La directive européenne, on le sait, n'est pas applicable directement dans les Etats membres de l'Union européenne, à la différence du règlement communautaire; elle doit passer par l'opération dite de transposition en droit interne; lorsque cette opération aura été accomplie, la France et l'Autorité de contrôle succédant à la CNIL, devront plus que jamais regarder par delà nos frontières nationales pour donner un contenu aux principes juridiques qui auront été dégagés dans la nouvelle loi, renouveler notre approche dans un contexte plus international.

2. Traiter des flux transfrontières de données médicales en Europe correspond à l'une des trois démarches qu'implique, dans les 2 prochaines années, la directive, démarches qu'on ne peut séparer tant elles s'articulent l'une sur l'autre.

Les trois démarches qu'implique la directive :

la transposition en droit interne
l'attitude à adopter visàvis de nos partenaires de l'Union européenne
l'attitude à adopter visàvis des Etatsmembres extérieurs à l'Union européenne.

Dans l'ordre de priorité de nos réflexions, la seconde question, qui est l'objet de l'exposé d'aujourd'hui, n'est pas encore abordée.

2.1. Tout se concentre, à l'heure actuelle, sur la première phase: la transposition en droit interne, à la quelle la CNIL est associée sous la forme de prises de contacts avec diverses émissaires qui ont été désignés pour faire des propositions pour la future loi et de l'envoi d'un questionnaire d'une instance interministérielle comportant 22 questions auxquelles nous nous sommes attelés. Dans cette première étape, nous ne perdons pas de vue les péripéties ou réflexions qui prennent place chez nos partenaires européens, puisqu'aussi bien la directive, si elle n'harmonise pas, comme elle prétendait le faire, nos législations, doit au minimum les rapprocher; nous rassemblons des informations sur des questions qui ont été identifiées comme communes: conciliation avec la liberté de la presse; simplification des procédures de déclarations; rôle et statut du "détaché" à la protection des données ( institution allemande). Jusqu'ici, les données médicales n'ont été évoquées, ni au niveau interne, ni au niveau européen.

Il convient ici de préciser que les organes européens, Commission, Conseil, Cour de Justice, suivent les travaux de transposition et ont le pouvoir, en fin de course, de juger de la qualité de la transposition.

2.2. La seconde préoccupation qui émerge, et qui a d'ailleurs émergé depuis un bon moment, concerne les relations avec les pays extérieurs à l'Union européenne, ce que nous appelons les pays tiers.

La directive, c'estàdire l'Union européenne, intervient ici, sur deux terrains :

2.2.1 Un terrain de fond elle subordonne les flux transfrontières de données vers un pays tiers à l'obligation pour ce pays d'assurer "un niveau de protection adéquat". Art.26.

Au cours des travaux de rédaction de la directive, un débat ardent s'est développé autour de l'étendue de la protection que ces pays tiers offrait: fallaitil imposer la "protection équivalente" ou pouvaiton se contenter de la "protection adéquate", expression beaucoup plus laxiste ?

L'article 26 de la directive ne manque pas d'accentuer cette impression de laxisme, en multipliant les dérogations au principe qui parait pourtant minimum de la "protection adéquate".

Le très gros problème est avec les EtatsUnis qui ne dispose pas de législation de protection de données personnelles; mais, de toute manière avec ce pays, ce n'est pas à proprement parler la médecine qui est en cause, c'est le marketing, le commerce, l'offre des services.

Les données de santé sont carrément absentes des échanges de vues encore informels qui prennent place entre l'Europe et les EtatsUnis sur les conséquences que pourrait avoir la directive sur les flux transfrontières de données. S'il existe un intérêt aux EtatsUnis en ce domaine, c'est dans un cercle restreint, universitaire ou de recherche notamment, indépendamment de la directive, et plutôt en raison de l'inquiétude de l'opinion publique sur la faiblesse, en fait, du secret médical et la réutilisation secondaire des données de santé; selon de récentes informations, il n'est pas impossible d'ailleurs qu'une loi ne soit finalement votée pour traiter particulièrement le problème des données médicales, une loi qui ait des effets contraignants aux niveau fédéral et des Etats.

Nos réflexions sur la notion de protection adéquate sont peu avancées; elles n'aboutiront pas avant un certain temps, car il faut faire l'exégèse de l'article 26 de la directive, dégager les critères de la protection adéquate; il ne faudra pas néanmoins trop tarder en raison de la pression des EtatsUnis.

2.2.2 Le terrain de la compétence partagée entre chaque Etat européen et la Commission.

Les Etatsmembres sont compétents en première ligne pour apprécier la protection équivalente accordée par un Etat tiers.

Mais ils doivent informer la Commission qui, en dernier lieu décide, les Etats n'ayant plus qu'à se conformer à sa décision.

C'est la conséquence de la création du marché commun: une zone de libre échange, avec des barrières extérieures surveillées par l'Union européenne, au bénéfice d'un transfert de compétences des Etats à l'Union.

2.3. La troisième démarche est celle qui devrait concerner plus particulièrement le sujet de la conférence: les flux transfrontières à l'intérieur de l'Union européenne.

Aucune réflexion n'a encore été menée sur ce terrain par la CNIL, ni à ma connaissance par nos partenaires européens, en matière de données médicales.

Peuton cependant réfléchir à haute voix, et avec toutes les précautions d'usage, c'est-à-dire en marquant bien que les propos qui vont suivre n'engagent que leur auteur ?

2.3.1. La raison pour laquelle cette réflexion n'est pas prioritaire est très simple: la directive pose le principe qu'à l'intérieur du marché commun, les garanties accordées aux intéressés sont équivalentes, dès lors que les Etats européens adopteront une loi de protection des données personnelles et se muniront d'une autorité de contrôle indépendante, et que par conséquent, dans l'espace européen, il ne saurait y avoir aucune restriction ni interdiction de flux de données. C'est tout l'objet de la directive que de nier l'existence même d'un problème quelconque issu de niveaux différents de garanties pour les personnes entre Etats européens. C'est toute l'économie de l'article 100 A du traité de Maastricht, article cardinal dans le dispositif, qui impose le principe de la libre circulation des personnes, des capitaux, des marchandises et des services.

Avant l'intervention de la directive et sous le régime de la loi du 6 janvier 1978, alors que la Belgique n'était pas encore munie d'une loi de protection de la vie privée, la CNIL avait recommandé la signature d'un contrat entre l'IGR et l'EORTC, situé en Belgique, pour sa participation au projet EUROCODE, sur le cancer. En vertu de ce contrat, des garanties inspirées de celles de la loi française de 1978 étaient apportées aux malades dont les données étaient transmises de France en Belgique: confidentialité, droit d'accès, procédure de communication des données sous forme indirectement nominative. Maintenant que la Belgique est munie d'une loi de protection de la vie privée, et que la directive met sur le même plan toutes les lois européennes, non sans un certain esprit de système faisant une large place à la fiction, une telle démarche contractuelle, imposée par la CNIL, pour faire respecter les règles françaises, celles de la loi du 6 janvier 1978, audelà des frontières, n'a plus de sens.

En revanche, s'il ne peut y avoir d'obstacles de principe aux flux transfrontières de données entre Etats membres de l'Union européenne, une place peut être laissée à la négociation d'accords pour organiser l'exploitation des données de part et d'autre des frontières et, dans la négociation de ces accords, plus vraisemblablement d'ailleurs entre services, entre hôpitaux, entre laboratoires qu'entre Etats, c'est dans le contenu des protocoles et dans le suivi des pratiques que ces flux transfrontières seront contrôlés, les acteurs ayant la liberté de s'imposer certaines conditions. Ici la directive n'intervient pas pourvu que les accords n'entravent pas ces flux.

2.3.2. La question intéressante reste toutefois la suivante, au moins en théorie: en dépit de la directive, pourraitil subsister des cas dans lesquels il serait possible pour un Etat comme la France de s'opposer, sur recommandation de la CNIL, à un flux transfrontière de données ?

On peut imaginer trois raisons de s'interroger :

La directive ne traite, et ne peut traiter, que les affaires de la compétence communautaire, ce qui exclut au moins les transferts de données médicales qui pourraient être incluses dans des traitements relevant de ce qu'on appelle le 2ème et le 3ème piliers des accords de Maastricht; ainsi si des données personnelles relatives à l'utilisation de drogues étaient contenues dans des traitements relevant de la justice ou des accords de Schengen ou d' Europol, la directive ne s'appliquerait pas; il faut convenir que ce sont des cas marginaux ;
Dans le cas où des pays membres de l'Union européenne ne mettraient pas à profit le délai de 3 ans, maintenant 2 ans et demi, pour adopter une loi de protection des données personnelles et se doter d'une autorité de contrôle, ou modifier leur loi pour la mettre en harmonie avec la directive, ils ne pourraient pas bénéficier de la règle de l'équivalence de protection posée par la directive, et il deviendrait possible pour les autres Etats, de mettre des obstacles au transfert de données.

Ce n'est pas, à l'heure actuelle, une hypothèse d'école: cf; l'Italie et la Grèce. Ces deux pays ne disposent plus que d'un court délai pour se ettre en conformité avec la directive.

S'ils ne le font pas d'ici le 24 octobre 1998, ils encourront la condamnation de la Cour de Luxembourg pour manquement; faute de pouvoir offrir des garanties, lls ne pourront à mon sens, réclamer non plus le bénéfice de l'article 100 A du Traité de Maastricht ;

Enfin, même si on peut imaginer que l'activité médicale de soins et de recherche médicale puisse se développer presque toute entière dans le cadre du marché intérieur, encore que certains en doutent (cf. Ies obligations de service public auxquels sont soumis certains établissements, la gestion de la liste des maladies obligatoires pour des motifs de santé publique, relevant du pouvoir régalien des Etats, en bref les activités échappant à la sphère marchande soumise à la concurrence ), il n'est pas exclu que des motifs d'intérêt public, tirés notamment d'impératifs de santé publique, puissent s'opposer à la libre circulation de ces données dont le principe est posé par l'article l00 du traité de Maastricht. Une telle clause de sauvegarde existe dans les accords internationaux; elle joue ces joursci en Europe; elle est présente dans un accord signé par les EtatsUnis (article 14 de l'accord GATS).

Dans un tel cas ce serait à la Cour européenne d'apprécier si cet impératif est fondé et s'il n'est pas plutôt un prétexte pour écarter la règle de la libre circulation des données. On renvoie ici à la fameuse jurispridence Cassis de Dijon du 20 février 1979 ReweZentral AG c. Bundesmonopolverwaltung fur Branntwein.

Quelles pourraient être les raisons avancées pour justifier un motif de santé publique ?

C'est ici qu'il faut revenir à l'article 8 de la directive, évoqué seulement au début de cet exposé.

Cette disposition pose le principe de l'interdiction du traitement des données sensibles, et parmi ces dernières, elle range les "données relatives à la santé et à la vie sexuelle", en bref des données médicales, en quoi elle constitue une avancée sur loi française, plus frileuse sur ce point.

Mais, c'est aussitôt pour assouplir le principe en imposant une dérogation pour les données médicales, dès lors qu'elles sont couvertes par le secret professionnel. Le respect du secret médical ou "d'une obligation de secret équivalente" est un standard suffisant pour autoriser des flux transfrontières de données sans consentement des intéressés.

Le consentement, même non exprès des intéressés, ne pourra plus, à nos yeux, être exigé avant de décider d'un flux transfrontières de données médicales. Peutêtre resteratil quand même pour les personnes le droit de s'opposer, ce qui suppose une information préalable, car la dérogation à la règle du consentement de l'article 8 de la directive ne touche pas le droit d'opposition, qui le dernier filet de protection.

Les garanties que la CNIL a tenté d'organiser, et souvent avec succès, telles que l'anonymisation des données, la distinction entre les données administratives et les données de santé, subsisterontelles si le secret médical est suffisant ? Rien, à nos yeux, n'est moins sûr.

Reste quand même peutêtre la confidentialité, qui est très liée au secret médical, et les conditions de sécurité de l'échange et de l'utilisation des données de part et d'autre des frontières; la sécurité, à l'époque des réseaux, de l'expertise à distance, de l'organisation des soins autour de plateaux techniques spécialisés, du développement de l'informatique nomade et des cartes à mémoire, est, à l'évidence, inséparable du secret médical.

On pourrait imaginer que, bien argumenté sur les aspects technique et organisationnel, un cas d'interdiction ou de restriction à un flux transfrontière de données puisse "passer". Mais il faudra peser les risques.

Le sujet proposé à la conférence n'est donc pas épuisé. Il ne l'est certainement pas en droit; pas davantage, il ne l'est en fait où, ce qui sera intéressant à observer, c'est la pratique des Etats européens, sur des sujets comme la constitution de fichiers à l'échelon européen, la consultation à distance avec transfert de données, y compris d'imagerie médicale, les traitements européens constitués à des fins de pharmacovigilance ou de surveillance des maladies contagieuses...