Dossier médical sur clé USB : un projet de décret incomplet
L’article 30 de la loi du 10 août 2011, dite « loi Fourcade » (1), intégrée à l’article L.1111-20 du Code de la santé publique, prévoit l’adoption d’un décret fixant les modalités de mise en œuvre d’« un dossier médical implanté sur un support portable numérique sécurisé » remis, à titre expérimental, à un échantillon de bénéficiaires de l’assurance maladie.
C’est à l’issue de la séance plénière du 29 mars 2012 que la Cnil a adopté une délibération portant avis sur le projet de décret d’application qui lui a été communiqué. Alors que d’autres Etats, comme le Japon, ont d’ores et déjà déployé un dossier médical sur clé USB, cette ambition est confrontée en France à de nombreux obstacles politiques, techniques, économiques et juridiques.
Appelée par l’ASIP Santé, en charge de cette expérimentation, à se prononcer sur le volet Informatique et libertés, la Cnil exprime de nombreuses réserves et souligne le manque de précision de ce texte, dont la publication est pourtant d’autant plus attendue qu’une date butoir de réalisation de l’expérimentation a été fixée au 31 décembre 2013.
La Cnil relève que de nombreux aspects techniques sont subordonnés aux réponses qu’apporteront les candidats à l’appel d’offres de l’ASIP Santé, en vue de la mise en œuvre de cette expérimentation. La Cnil déplore, en conséquence, le fait de n’être pas en mesure de vérifier la conformité du projet de décret avec la règlementation applicable à la protection des données à caractère personnel.
La Cnil relève que les mesures visant à garantir la sécurité et la confidentialité des données de santé conservées dans la clé USB ne sont pas précisées. En effet, le projet de décret prévoit que l’accès aux données stockées sera subordonné à l’utilisation par le patient d’un dispositif, non décrit en l’état, dont il aura le contrôle exclusif. Il pourrait notamment consister en l’utilisation d’un mot de passe, d’un logiciel de cryptage ou de reconnaissance vocale.
S’agissant du contrôle de l’intégrité, la Cnil souligne, en outre, l’existence de risques de détérioration des données et de saturation de la mémoire liés aux limites techniques d’une clé USB. La Cnil relève, par ailleurs, que le projet de décret ne comporte pas d’indication tenant à la durée de conservation des données.
La Cnil s’interroge, en outre, sur le contenu de la clé USB, qui sera remise aux patients candidats à l’expérimentation : s’agira-t-il d’un support, vide faisant alors fi des dispositions légales en vigueur ? Le risque de propagation de virus informatiques induit par la circulation des fichiers sur les différents postes informatiques du patient et des médecins est également relevé.
Enfin, la libre réécriture par le patient des informations contenues dans la clé est susceptible d’affecter la confiance des médecins à l’égard de ce dossier dématérialisé.