Santé et Biotechnologies
Réseaux de santé
L’interdiction de cession des données de santé identifiantes
Tout acte de cession à titres onéreux de données de santé identifiantes, directement ou indirectement, y compris avec l’accord de la personne concernée, est strictement interdit.
Des sanctions pénales sont prévues en cas de non-respect de ces dispositions. Il s’agit des sanctions applicables en cas d’atteinte à la finalité des traitements de données à caractère personnel (5 ans d’emprisonnement et 300 000 euros d’amende).
Ces nouvelles dispositions, interdisant la cession de données de santé identifiantes, ont été introduites suite à l’avis de la CNIL sur le projet de texte qui a abouti à la loi du 13 août 2004 réformant l’assurance maladie. Ce principe d’interdiction avait déjà été retenu par la CNIL dans plusieurs délibérations dès 1997 et 2001.
Les nouvelles dispositions reprennent ce principe d’interdiction en visant, de manière large, tout acte de cession à titre onéreux de données de santé identifiantes.
Cette règle vise l’ensemble des données de santé sans distinguer celles contenues dans le dossier médical personnel ou celles concernant les seuls bénéficiaires de l’assurance maladie.
La notion de « données de santé » n’est pas expressément définie par l’article L. 1111-8 du Code de la santé publique. Elle s’entend habituellement comme « les données, qui permettent d’identifier une personne, directement ou indirectement, notamment par référence à son nom, à son numéro d’identification ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, psychique, économique, culturelle et sociale. » ou « toutes données ayant un lien manifeste et étroit avec la santé ainsi que les données génétiques ».
La notion « d’identifiant » n’est pas davantage précisée par l’article L. 1111-8 du Code de la santé publique. Cette notion doit également être appréhendée eu égard aux notions définies dans la loi Informatique et libertés en se référant à la notion d’identifiable. Cette notion est définie à l’article 2 de la loi Informatique et libertés qui précise que « pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification, dont dispose ou auxquels peut avoir accès un responsable ».
Paru dans la JTIT n°36/2005 p.8
(Mise en ligne Janvier 2005)