«la protection des données personnelles nominatives dans le cadre de la recherche dans le domaine de la santé»

Transcription

1 UNIVERSITE MONTPELLIER I Faculté de droit, des Sciences Economiques et de Gestion. Institut de recherche et d études pour le traitement de l information juridique «la protection des données personnelles nominatives dans le cadre de la recherche dans le domaine de la santé» Comparaison du droit français et du droit américain. Mémoire de D.E.A «Informatique et droit» Sous la direction de : M. le professeur J. frayssinet Présenté par : Julien Le Clainche Laboratoire d accueil : I.R.E.T.I..J (URA CNRS 954) Equipe de recherche en informatique et droit (DRED n 718) 39, rue de l Université Montpellier cedex INTRODUCTION... 4

2 PREMIERE PARTIE : LA PROTECTION DES DONNEES PERSONNELLES DANS LE CADRE D UNE RECHERCHE DANS LE DOMAINE DE LA SANTE : UN OBJECTIF RECHERCHE PAR TOUS LES ORDRES JURIDIQUES... 7 Chapitre I : Une conception extensive des données à protéger Section I : La définition des données nominatives La loi informatique et libertés comparée à d autres systèmes juridiques Les nouvelles dispositions adoptées en Section II : Les systèmes de protection en droit comparé Le droit européen Les droits Anglo-saxons Chapitre II : Des droits étendus au profit des personnes concernées Section 1 : Le droit à l information Droit à l information et recherche Modalités et sanctions du droit à l information Section 2 : les droits d accès, de rectification et d opposition Le droit d accès Le droit d opposition SECONDE PARTIE : LE TRAITEMENT DES DONNEES PERSONNELLES DANS LE CADRE D UNE RECHERCHE DANS LE DOMAINE DE LA SANTE : UNE NECESSITE DE MIEUX EN MIEUX PRISE EN COMPTE Chapitre I : des règles qui permettent la collecte et le traitement des données Section I : La déclaration du fichier En droit français Acception américaine de l obligation de déclaration : Les «Institutional Review Board.» Section 2 : Les règles de collecte et de traitement des informations nominatives relatives à la santé Les principes de collecte et de traitement L efficacité du contrôle Chapitre II : Des règles qui restent à compléter dans le domaine de la diffusion des données Section I : Le secret médical et les difficultés de la recherche Les définitions du secret médical Les flux trans-frontières de données Section II : Sécurité et confidentialité L obligation de sécurité L obligation de confidentialité BIBLIOGRAPHIE TABLES DES TEXTES NORMATIFS TABLE DES DECISIONS... 75

3 LISTES DES NOTES JURIDIQUES : Dictionnaire Permanent Bioéthique et biotechnologies Médecine & Droit Gazette du palais Dalloz J.C.P Revue de droit sanitaire et social Revue internationale de droit comparé Revue trimestrielle de droit social Expertises Le Concours médical OUVRAGES RAPPORTS ET ETUDES SITES INTERNET CONSULTES GLOSSAIRE: ANNEXES Loi n du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés Serment d'hippocrate Serment dit de «Montpellier» Déclaration d Helsinki Accord «Safe Harbour» FAQ 14 Produits pharmaceutiques et médicaux PRINCIPLES OF MEDICAL ETHICS Ranking of States in Privacy Protection Formulaire de déclaration du fichier à la Cnil: l information des personnes & Internet Formulaire de déclaration du fichier à la Cnil : la sécurité Recherche dans le domaine de la santé et Internet TABLE DES MATIERES...112

4 Introduction Le développement de la connaissance est lié pour partie à l accumulation des savoirs et à leur mise en relation. Ainsi, depuis son apparition, l homme se développe, en dépit des périodes d obscurantisme et de régression, sur le limon des enseignements passés. En effet, la découverte, si elle répond à certaines questions, amène souvent à de nouvelles interrogations. Depuis près de deux cents ans, le volume, la conservation et la diffusion de la connaissance n ont cessé de croître, déclenchant une vague de progrès. Cependant, si la connaissance est sa propre matière première, elle est par essence perpétuellement incomplète, et la manipuler n est pas sans risque. Il faut donc se garder de l image du progrès à croissance exponentielle qui serait l apanage de nos sociétés modernes. En effet, celui-ci peut être annonciateur d une période de régression, les scenari de développement sont multiples et non linéaires, c est pourquoi le progrès se doit d être régulé. Avec le développement récent des nouvelles technologies de l information et de la communication (ntic), nous nous prenons à rêver de la société du futur. Ainsi, les progrès de la médecine figurent-t-ils parmi les préoccupations de nos concitoyens, les débats relatifs à la DHEA, au Viagra ou encore au clonage des cellules souches en sont des illustrations. En effet, le public, par le biais des médias, est de plus en plus sensibilisé aux questions se rapportant à la bioéthique. Par ailleurs, l apparition d épidémies nouvelles, telles que le syndrome d immuno-déficience acquise (sida) ou encore les mutations d autres virus, tels que la grippe, sont des problèmes de société qui ne laissent personne indifférent. Le contexte actuel du progrès médical pose donc avec acuité la question des rapports entre la science et la philosophie ou la morale. A ce titre, la nécessité du traitement de données nominatives relatives à la santé dans le cadre d une recherche scientifique se doit de prendre en compte les attentes des citoyens au regard de la confidentialité des informations traitées. Tout d abord, il convient de préciser ce qu est une recherche dans le domaine de la santé. Dans le langage courant, l activité de recherche médicale se définit comme étant l étude des phénomènes relatifs à l état de santé d une population en vue de leur compréhension et de leur traitement.

5 Aujourd hui la recherche n est plus en dehors du marché. La plus grande diffusion de l information ainsi que l extension de l économie de marché ont eu une grande influence sur son développement. Les découvertes sont brevetables ou à défaut, bénéficient de régimes de protection particuliers. Les résultats de la recherche ont donc une valeur économique, qui se traduit par le développement des investissements et des moyens mis en œuvre. Ainsi, le recours à l informatique et aux nouvelles technologies a bouleversé le traitement de l information dans le cadre de la recherche dans le domaine de la santé qui est devenue une grande consommatrice de données, notamment nominatives. En effet, il est désormais inconcevable de mener une recherche dans le domaine de la santé sans constituer un fichier sur les personnes. Comment mesurer l état de santé d une population, suivre l évolution d un phénomène sanitaire, étudier les facteurs à risques ou l impact de tel médicament sans avoir collecté et traité des informations, nominatives sur les sujets de ces recherches? Les technologies de l Internet progressent régulièrement et offrent de nouvelles possibilités dans la mise en place et la réalisation d essais clinique 1. L Internet permet en effet non seulement de recruter des patients dans le cadre d une recherche mais aussi de gérer le fichier depuis la saisie des données jusqu à la soumission du produit à l organisme de contrôle 2. L industrie pharmaceutique dépensant chaque année près de quarante milliards de dollars dans la recherche, la réduction des coûts des essais est un enjeu convoité par les CROs 3 qui n hésitent pas à s associer avec des portails consacrés à la santé 4. Enfin, la dimension internationale du recrutement ou de la pharmacovigilance pose le problème du dialogue entre les ordres juridiques, qui ne sont pas nécessairement harmonisés dans un domaine aussi sensible que le droit de la protection des données nominatives personnelles. 1 Voir l annexe «recherche & Internet» 2 A la Federal drugs Agency uniquement pour le moment. 3 Contract Research Organization : Sociétés spécialisées dans la mise en place, la gestion et la réalisation des essais cliniques. Initialement cantonnés dans le recueil et l'analyse informatique des données, les CROs sont devenus les partenaires privilégiés des laboratoires. Ils interviennent aujourd'hui à la fois dans la définition du protocole de l'essai, la sélection des sites investigateurs, le recrutement des patients, le développement du CRF, le recueil et le traitement des informations. Leur rôle est appelé à évoluer rapidement avec l'utilisation croissante des outils Internet et la volonté de certains laboratoires de ré-internaliser une partie de la gestion des essais cliniques. (Source : medcost) 4 Voir alliance du Cro Quintile avec le site DrKoop

6 La recherche dans le domaine de la santé présente naturellement un intérêt public. En effet, elle permet de tendre vers une plus grande sécurité des individus par la découverte de nouveaux remèdes, par la compréhension de facteurs à risques, par une lutte plus efficace contre les épidémies De son coté, la protection des données personnelles est un droit individuel 5, garantie par la constitution et appliqué par le Conseil Constitutionnel 6, en outre, la protection des données personnelles est au carrefour de nombreuses autres libertés. Il faut donc mettre en place un cadre normatif à fin d arbitrer les conflits entre l intérêt public et le droit individuel de la protection des données personnelles dans le cadre de la recherche dans le domaine de la santé. La protection des données personnelles si elle rend nécessaire un contrôle a priori de la création d un fichier de recherche dans le domaine de la santé, nécessite également la définitions de règles de collecte et de traitements claires et adaptées au contexte. En outre, les mœurs et la santé sont des secteurs trop sensibles pour ne pas faire l objet d une grande prudence, le spectre de la finalité de certains fichages passés, français comme étrangers, nous hantent et devront continuer à le faire, le contexte libertaire actuel ne doit pas être prétexte à l oubli. Le législateur et la pratique des pays développés doivent donc chercher un équilibre entre l impératif de protection de la vie privée des personnes et les nécessités de poursuivre le développement accéléré des recherches dans le domaine de la santé. Cet équilibre est variable dans le temps et selon les ordres juridiques. Toutefois l évolution générale est claire. A partir d une prise de conscience de la nécessité d une protection juridique des données personnelles adaptée aux spécificités du domaine de la santé (I), le droit prévoit des dispositifs qui permettent effectivement l utilisation des données personnelles dans la recherche médicale. (II) 5 articles 1, 2 et 4 de la déclaration des droits de l homme et du citoyen de Conseil Constitutionnel dc 23 juillet 1999 «Couverture maladie universelle»

7 Première partie : La protection des données personnelles dans le cadre d une recherche dans le domaine de la santé : un objectif recherché par tous les ordres juridiques La protection des données personnelles nominatives pour être efficace doit non seulement garantir des droits importants aux individus mais aussi avoir une conception large de ce qui doit être protéger.

8 Chapitre I : Une conception extensive des données à protéger. Il convient donc de confronter les conceptions de chaque ordre juridique tant à l égard des données nominatives personnelles et des informations relatives à la santé qu à l égard de la recherche et de la vie privée. Section I : La définition des données nominatives 1 La loi informatique et libertés comparée à d autres systèmes juridiques La protection des données personnelles est assurée en France par la loi n du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés. Ce texte fut pionnier en matière de droit de l informatique et est resté une référence, notamment grâce au travail de la Commission Informatique et libertés (Cnil). Si la directive 95/46 CE du Parlement européen et du Conseil relative à la protection des personnes physiques à l égard du traitement des données à caractère personnel et à la libre circulation des ces données, s est largement inspirée de la loi française, des adaptations ponctuelles de la loi de 1978 seront néanmoins nécessaires lors de la transposition 7. A. la notion de données nominatives L article 4 de la loi de 1978 définie les données personnelles nominatives comme étant les informations qui permettent, sous quelque forme que se soit, directement ou non, l identification des personnes physiques auxquelles elles s appliquent, que le traitement soit effectué par une personne physique ou morale. La Cnil a retenu une conception large des données nominatives. La directive entend, quant à elle, par données à caractère personnel : «toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou 7 Transposition qui aurait dû intervenir au plus tard le 24 octobre Il faut cependant noter que l 'avant-projet de loi sur la protection des personnes à l'égard des traitements des données à caractère personnel a été présenté le 18 juillet dernier par Marylise Lebranchu en Conseil des Ministres.

9 plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale.» La directive donne une définition un peu plus précise que la loi française qui recouvre cependant le même contenu à savoir, une information qui identifie directement ou indirectement une personne. Le droit américain reçoit une définition des «nominatives data» ou «personal data» relativement proche fondée-elle aussi sur la possibilité d identification. Le traitement automatisé au sens de l article 5 de la loi française est défini comme «tout ensemble d opérations réalisé par des moyens automatiques, relatifs à la collecte, l enregistrement, l élaboration, la modification, la conservation et la destruction d informations nominatives ainsi que tout ensemble d opérations de même nature se rapportant à l exploitation de fichiers ou de bases de données et notamment les interconnexions ou rapprochements, consultation ou communication d informations nominatives.» Au sens du droit communautaire, le traitement automatisé de données se défini comme : «toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliqués à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.» Les deux définitions sont larges et transcendent le simple traitement par un ordinateur pour englober toute sorte de moyens de gestion de données tels que les puces à microprocesseur (cartes bancaires, carte Sim d un téléphone portable) ou encore le minitel. La proximité des définitions entre le droit français et le droit communautaire est de nature à facilité la comparaison. B. La notion de données personnelles relatives à la santé En 1978, aucune disposition particulière ne traitait de la protection des données personnelles dans le cadre de la recherche dans le domaine de la santé. En effet, la nature particulière des informations médicales n était pas envisagée par le texte 8 comme l illustre l article 31 de la loi qui est ainsi rédigé : «Il est interdit de mettre en mémoire informatique, sauf accord exprès de l intéressé des données nominatives qui, directement ou indirectement font apparaître les origines raciales ou les opinions politiques, philosophiques ou religieuses ou les mœurs des personnes. ( ) Pour des 8 Hormis par l article 40 de la loi 78/17 relatif au droit d accès

10 motifs d intérêt public, il peut être fait exception à l interdiction ci dessus sur proposition ou avis conforme du Conseil d Etat» Le texte français ne faisait donc aucune référence explicite aux informations médicales dans le cadre des données dîtes «sensibles» 9. Aux Etats-Unis, si la loi est également muette quant aux «sensitives data», les codes de bonne conduite et certains case law considèrent que l on peut regrouper sous ce vocable les informations relatives à la santé. Cependant, par des voies différentes, la difficulté a été surmontée pour arriver à la même conception que la pratique américaine. Dans les années qui ont suivi la promulgation de la loi, la Cnil, a eu l occasion à plusieurs reprise de souligner le caractère non exhaustif de l énumération de l article 31, interprétation fondée sur l intitulé ainsi que sur la finalité de la loi. En effet, l article 1 er de la loi dispose : «L informatique doit être au service de chaque citoyen ( ) Elle ne doit porter atteinte ( ) à la vie privée.» Or, les informations relatives à la santé d une personne sont intrinsèquement des données à risques. En effet, leur contenu informationnel relève de la sphère la plus intime de la vie privée et leur révélation peut être lourde de conséquence pour leur sujet. A titre d exemple, il est facile d imaginer l intérêt que peut porter un employeur à l état de santé de son personnel lors du recrutement, non par souci de santé publique, mais pour des considérations plus matérialistes. A cet égard, et à la lumière de l article 1 er de la loi, il est clair que se sont les informations relatives à la santé, c est à dire celles couvrant non seulement les données médicales mais aussi des données concernant une personne qui du fait des finalités du traitement ont un rapport avec la santé, qui sont protégées, c est à dire, outre les informations médicales stricto sensu, les informations qui sont en rapport avec les dispositions législatives ou réglementaires concernant le système de soins de santé, l évaluation médicale ou encore relative à l assurance maladie obligatoire. Les informations médicales peuvent être définies, quant à elles comme étant des «informations relatives à la santé d une ou plusieurs personnes que se soit en médecine de soins, de contrôle ou de recherche. Ces informations ont un caractère nominatif direct ou on et sont couvertes par le secret» 10. Ces définitions françaises s inscrivent dans l esprit de la directive 95/46CE dont l objectif était de garantir un 9 Cette remarque est néanmoins à relativiser, la sensibilité d une donnée étant essentiellement fonction de la finalité de sa collecte ou de son traitement 10 source :

11 niveau élevé de protection. En outre, il est important de noter que le projet de loi destiné à transposer la directive dans l ordre juridique français présenté le 18 juillet 2001 en conseil des ministres se propose d ajouter les données relatives à la santé à la liste des données sensibles. La structure fédérale et le recours à l autorégulation expliquent la multiplicité des définitions aux Etats-Unis. Pour l «American Medical Association» 11 (Ama), les informations médicales sont des informations relatives à l état de santé d une personne (historique, diagnostic, condition, traitement, évaluation de santé) indépendamment du support de l information. L «U.S Health Information Management Association», (Hima) définie quant à elle comme étant une information médicale, toutes informations ou données, quel que soit leur support, même oral, qui identifie ou permettent d identifier un patient, qui sont relatives à sa santé et qui ont été révélées par lui-même ou un de ses proches. Cette seconde définition est plus riche que la première, en effet elle ne distingue pas selon que les données ont été traitées ou non puisqu elle englobe les données comme les informations. En outre, en disposant «identifie ou permettent d identifier» l Hima fait référence à ce que les Européens qualifient d identification directe et indirecte. Le «Medical Information Protection and Research Enhancement Act of 1999» définit d abord ce qu est une «nonidentifiable information», c est à dire, une information, relative à la santé dont tout identifiant personnel direct ou fournissant un moyen d identification direct (nom, adresse, numéro de sécurité social ), a été supprimé, crypté ou remplacer par un code de telle manière que l identification ne puisse se faire qu au moyen d une clé. Ensuite le même texte définit les informations relatives à la santé qui sont protégées (protected heath informations) : Il s agit d informations nominatives, orales ou enregistrées par quelque moyen que se soit qui sont crées ou reçues par un fournisseur de soins médicaux, un plan de santé, une agence de veille sanitaire, une autorité de santé publique, l employeur, l assureur, l école ou l université ou dérive de la fourniture, du paiement de soins médicaux et qui se rapporte à la condition physique ou mentale passée, présente ou future d un individu, incluant ses cellules et ses produits corporels et qui n est pas une «nonidentifiable information.» 11 Voir les principes d éthique de l A.M.A en annexe

12 Ainsi, dans les différents ordres juridiques français, communautaire et américain il existe, en dépit de l absence de définitions légales, une harmonie relative sur la conception large de ce qui doit être protégé, non seulement les informations médicales, mais aussi les informations relatives à la santé. L ancien article 40 de la loi de 1978 reconnaissait expressément le statut particulier des informations à caractère médicales au regard du droit d accès qui ne peut s exercer que par l entremise d un médecin désigné à cet effet par le patient. Cet article, qui constituait la seule référence directe aux données médicales n était pas de nature à créer un cadre juridique satisfaisant pour la recherche dans le domaine de la santé. En effet, bien que la Cnil ait su pallier l absence des informations relatives à la santé de la définition des données dîtes «sensibles», la législation originaire ne prenait pas en compte le caractère particulier lié à la circulation de telles informations, couvertes par le secret professionnel. Cette difficulté, présente également aux Etats-Unis, rendait plus que nécessaire un aménagement législatif. En effet, la situation était «juridiquement malsaine» dans la mesure ou elle contraignait les chercheurs à agir dans l illégalité, un tel cadre juridique n était pas de nature à stimuler la recherche dans le domaine de la santé. L état de la recherche épidémiologique 12, c est à dire «l étude de la fréquence et de la répartition dans le temps et dans l espace, des problèmes de santé dans des populations humaines, ainsi que le rôle des facteurs qui les déterminent», en est une illustration 13. Il est indéniable que la France a accumulé un retard considérable depuis le début des années quatre vingt qui n est pas encore tout à fait rattrapé à ce jour. 2 Les nouvelles dispositions adoptées en 1994 A. La nécessité de préciser les textes initiaux 12 Définition du professeur Golberg directeur de l unité 38 de l Inserm. 13 Cf : Rapport «Science de la vie, de l éthique au droit» documentation française.

13 Depuis, la France comme la Communauté européenne ont pris les mesures législatives qui s imposaient. En effet la loi du 1 er juillet 1994, suivant les deux lois bioéthiques du 29 juin 1994, apporta des solutions, d une part, en aménageant le secret professionnel de manière à permettre la transmission d informations relatives à la santé dans le cadre d une recherche sous certaines conditions de confidentialité et de sécurité, d autre part en conciliant l intérêt général de santé publique avec l intérêt individus. Pour se faire la loi a déterminé précisément les droits et obligations de chacun des acteurs. Le troisième volet du «triptyque» bioéthique, a été inséré dans la loi de 1978 par la création d un chapitre V bis intitulé «traitements automatisés de données nominatives ayant pour fin la recherche dans le domaine de la santé», articles 40-1 à de la loi. En 1999 un chapitre V ter intitulé «Traitement de données personnelles de santé à des fins d évaluation ou d analyse des activités de soins et de prévention» 14 fut également ajouté. Cette nouvelle intervention législative à son importance au regard du champs d application du chapitre V bis, en effet, certains traitements d informations médicales peuvent relever des deux nouveaux chapitres, tout dépend de leur finalité. L article 40-1 exclu l application des certaines dispositions générales de la loi de 1978 relatives à l obligation de déclaration (article 16), au droit à l information (article 27), et au droit d opposition, (article 26) ainsi qu à la procédure de déclaration simplifiée, (article 17). L article 15 relatif aux traitements réalisés pour le compte de l Etat n a également pas vocation à s appliquer dans le cadre de la recherche dans le domaine de la santé. B. Les spécificités de la recherche dans le domaine de la santé Le chapitre V bis de la loi de 1978 s applique aux traitements dont la finalité est la recherche dans le domaine de la santé. La loi ne définit cependant pas ce qu est une recherche dans le domaine de la santé, alors que le «Medical Information Protection and Research Enhancement Act of 1999» américain propose une définition : «Le terme recherche dans le domaine de la santé (health research), signifie une investigation systématique de la santé, comprenant les procédés et les structures biologiques, mais n y étant pas limité, les soins médicaux ou leur délivrance et 14 Loi n du 27 juillet 1999, portant création d une couverture maladie universelle, article 41.

14 financement, incluant la recherche de développement, de test et d évaluation, destiné à développer ou à contribuer d une connaissance généralisable concernant la santé humaine, les soins médicaux et la délivrance de soins.» La conception américaine est donc extensive, puisqu elle va au-delà des recherches médicales pour concerner des traitements qui n ont qu une finalité secondaire dans le domaine de la santé, à ce titre, elle recoupe la conception française. Il faut cependant se garder de penser que les définitions françaises et américaines de la recherche médicale se recoupent exactement, des divergences existent, notamment quant à la délivrance de soins. En effet, l alinéa second de l article 40-1, pour éviter des contraintes inutiles, prévoit d exclure du champ d application du chapitre V bis les traitements de données ayant pour fin le suivi thérapeutique ou médical individuel des patients, ainsi que ceux permettant d effectuer des études à partir des données ainsi recueillies si ces études sont réalisées par les personnels assurant ce suivi et destiné à leur usage exclusif. Ces traitements concernant respectivement les dossiers des patients et les recherches pour lesquelles il n existe pas de circulation des données, restent soumis aux autres dispositions de la loi de L intitulé du chapitre V bis nous renseigne lui aussi sur son propre champ d application, en effet l expression «traitement automatisé» semble exclure les recherches menées à partir de fichiers non automatisés, ce qui est d autan plus étonnant qu ils sont généralement associés à un fichier automatisé. Enfin, on peut remarquer que faute de consultation des assemblées territoriales de Mayotte et des territoires d outre mer selon la procédure de l article 76 de la Constitution, la loi du 1 er juillet 1994 ne leur est pas applicable. La tendance actuelle à l accentuation des flux trans-frontière de données impose une brève exposition de l état de droit communautaire et international ainsi que de quelques pays de Common Law. L ordre juridique communautaire et le Conseil de l Europe et l OCDE se sont largement inspirés des principes de la législation française, tout en l actualisant.

15 Section II : Les systèmes de protection en droit comparé Les prémisses du droit européen du droit de la protections des données personnelles nominatives en matière de santé se retrouvent notamment dans la déclaration d Helsinki ainsi que dans la convention 108 du conseil de l Europe. 1 Le droit européen A. Les prémisses : déclaration d Helsinki, le Conseil de l Europe La déclaration d'helsinki 15, adoptée sur l initiative de l Association médicale mondiale ( ) pose cinq principes de bases : la scientificité, la bienfaisance, l'autonomie, l'évaluation collective et la confidentialité. Y sont aussi abordées la règle de la proportionnalité, la notion de consentement libre et éclairé du sujet et du consentement substitué pour les mineurs et les adultes inaptes. Relativement au consentement, la déclaration énonce que «le sujet doit être adéquatement informé de la recherche et que son consentement éclairé doit être obtenu, de préférence par écrit.» (Art. 9, Section I) Il est possible, dans le cas de la recherche médicale clinique et selon certaines conditions, de passer outre le consentement éclairé du sujet si le médecin le considère comme essentiel. (art. 5, Section II). La Déclaration ne mentionne pas quelles sont ces conditions mais indique que le chercheur qui veut procéder ainsi doit mentionner dans le protocole les raisons spécifiques pour lesquelles il considère que le consentement de la personne ne devrait pas être exigé, protocole qui sera évalué par un comité indépendant (art. 2, Section I). Quant à la capacité, lorsqu'un sujet est inapte, le consentement éclairé doit être obtenu par le représentant légal en vertu de la législation nationale en vigueur dans ce pays (art. 11, Section I). Il n'y a cependant aucune disposition spécifique relative au secret médical mais il serait possible d'invoquer le droit au respect de la vie privée (art. 6, Section I). La convention d Helsinki est donc un peu en deçà de la protection française, surtout en raison des conceptions diverses du secret médical des différents signataires. La convention pour la protection des droits de l'homme et de la dignité de l'être humain à l'égard des applications de la biologie et de la médecine 16 fonde en partie le 15 Voir texte intégral en annexe 16 Convention sur les droits de l'homme et la biomédecine, du Conseil de l'europe (1997)

16 droit international applicable en matière de protection des données personnelles dans le cadre d une recherche dans le domaine de la santé. Voici les éléments du résumé de la convention tel que présenté par le Conseil de l Europe intéressant le traitement des données personnelles dans le cadre d une recherche dans le domaine de la santé.: a. «Premier instrument juridique international contraignant en ce qui concerne la protection de la dignité, des droits et des libertés de l'être humain contre toute application abusive des progrès biologiques et médicaux.» Il s agit donc d une norme contraignante pour les pays signataires, ce qui est de nature à favoriser le dialogue ainsi que le rapprochement entre les systèmes. b. «L'intérêt de l'être humain doit prévaloir sur l'intérêt de la science ou de la société.» Ce principe n est pas sans incidence sur la recherche dans le domaine de la santé et devra être concilier avec l intérêt général. g. «Principes et interdictions concernant la génétique, la recherche médicale, le consentement de la personne concernée, le droit au respect de la vie privée et le droit à l'information, la transplantation d'organes, l'organisation du débat public sur ces questions, etc.» : Affirmation du droit à la vie privée et obligation de recueillir le consentement éclairé du sujet. h. Règles relative à l'exercice de la recherche médicale; modalités détaillées et précises, notamment pour les personnes qui n'ont pas la capacité de consentir à une recherche. j. Principe d'obtention du consentement éclairé de la personne concernée préalablement à toute intervention dans le domaine de la santé, sauf dans les situations d'urgence. k. Retrait du consentement à tout moment. l. Intervention sur une personne n'ayant pas la capacité de donner son consentement (enfant ou majeur incapable) que pour son bénéfice direct. m. Tout patient a le droit de connaître toute information recueillie sur sa santé, notamment les résultats des tests génétiques prédictifs». Cette disposition sera, elle aussi, difficile à concilier avec la possibilité de maintient du patient dans l ignorance d un pronostic grave consacrée en droit français. Heureusement, la : o. «Volonté d'une personne de ne pas être informée doit être respectée.

17 p. Reconnaissance de l'importance de débats publics et de consultations sur ces questions (exceptions dans certaines circonstances, lorsque la santé et la sécurité publiques sont en danger, ou lorsque la prévention de la criminalité ou les droits et les libertés d'autrui sont gravement compromis.)» Ainsi, tout projet de traitement informatique portant sur des données nominatives relève non seulement de la loi française mais aussi des dispositions de la convention n 108 du Conseil de l Europe. Or l article 6 de cette convention impose aux Etats membres de prévoir dans leur droit interne, des garanties appropriées pour traiter automatiquement des données à caractère personnel relatives à la santé ou à la vie sexuelle. La convention 108 retrouve donc le droit français sur la conception de ce qui doit être protégé mais aussi sur les modalités de la protection. La convention a également été prise en compte par l ordre juridique communautaire. A. Le droit communautaire Après une longue gestation, la directive du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données a réalisé un compromis entre les législations étatiques des quinze pays de la communauté. Elle aussi se proposait d instaurer des régimes particuliers pour certaines catégories de données nominatives relatives à la santé, ce qu elle justifie dans son trente troisième considérant : «Considérant que les données qui sont susceptibles par leur nature de porter atteinte aux libertés fondamentales ou à la vie privée ne devraient pas faire l'objet d'un traitement, sauf consentement explicite de la personne concernée; que, cependant, des dérogations à cette interdiction doivent être expressément prévues pour répondre à des besoins spécifiques, en particulier lorsque le traitement de ces données est mis en oeuvre à certaines fins relatives à la santé par des personnes soumises à une obligation de secret professionnel.» Néanmoins, un principe d interdiction se trouve à l article 8-1 de la directive : «Les États membres interdisent le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle.» Ces données relatives à la santé désignent tout comme

18 en droit français ou en droit américain, non seulement les informations médicales stricto sensu mais également toute information concernant une personne qui du fait de la finalité du traitement ont un rapport avec sa santé. On peut également remarquer que le terme «donnée» a été préféré à celui «d information» pourtant utilisé dans la loi française. Ce choix doit être interprété comme la volonté d inscrire la directive dans le contexte plus large du marché de l information où le mot «donnée» est utilisé pour caractériser le contenu informationnel d un fichier ou d une base de donnée 17. L article 8-3 apporte quant à lui une limite à l interdiction de l article 8-1 puisqu il dispose : «Le paragraphe 1 ne s'applique pas lorsque le traitement des données est nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements ou de la gestion de services de santé et que le traitement de ces données est effectué par un praticien de la santé soumis par le droit national ou par des réglementations arrêtées par les autorités nationales compétentes au secret professionnel ou par une autre personne également soumise à une obligation de secret équivalente.» Se trouvent ainsi autorisés les traitements de données relatives à la santé éventuellement sans le consentement de la personne concernée. Toutefois le responsable du traitement reste néanmoins tenu par l obligation d information des personnes concernées. L article 13-2 quant à lui prévoit une restriction au droit d accès : «Sous réserve de garanties légales appropriées, excluant notamment que les données puissent être utilisées aux fins de mesures ou de décisions se rapportant à des personnes précises, les États membres peuvent, dans le cas où il n'existe manifestement aucun risque d'atteinte à la vie privée de la personne concernée, limiter par une mesure législative les droits prévus à l'article 12 lorsque les données sont traitées exclusivement aux fins de la recherche scientifique ou sont stockées sous la forme de données à caractère personnel pendant une durée n'excédant pas celle nécessaire à la seule finalité d'établissement de statistiques.» La seule condition est donc que le traitement ait pour objet et pour but la recherche scientifique et ne serve pas d autres fins, ainsi pourraient être exclus dans champ de l exception les traitements qui serviraient aussi à un suivi thérapeutique ou médical. 17 Ainsi, les données sont des informations non traitées, par exemple ; «nom : Durand» ; «ville : Montpellier», sont des données, l information étant «Durand habite Montpellier».

19 La directive, qui avait pour objectif un niveau élevé de protection des données nominatives s inscrit dans le cadre d une tradition ancienne de garantie de la vie privée. En effet, dès 1789 le droit au respect de la vie privée a été consacré en France dans la déclaration des droit de l Homme et du citoyen. 2 Les droits Anglo-saxons Les pays Anglo-Saxons ne jouissent pas d une telle tradition du respect des informations personnelles nominatives. A. Les Etats-Unis L «Organisation for Economic Coopération and Developements» (OCDE) a jeté les bases des principes de respect de la vie privée au niveau international dans le courant des années soixante par la rédaction des «Fair information practices (FIPs). Les FIPs furent codifiés par l OCDE en En dépit des progrès technologiques, les FIPs sont toujours considérés aux Etats-Unis comme la pierre angulaire des dispositions sur la privacy et servent à inspirer tant les juges que les législateurs étatiques et fédéraux. Les Fair Information pratices posent des limites à la collecte, l utilisation et la divulgation des données personnelles. Ainsi, la collecte et l usage des données sont limitées à l objectif poursuivi par le traitement, l exactitude des données doit être assurée, ainsi que leur sécurité, les droits d accès et de rectification sont également consacrés. Les personnes responsables de l application de ces principes doivent être clairement identifiées et prendre en considération les pratiques et réglementations concernant les données personnelles. (Being open about the practices and policies regarding personal data). Cependant, si la Privacy ne se retrouve pas dans le Bill of Rights, la Cour suprême fédérale 18 a néanmoins reconnu un droit individuel au respect des informations relatives aux personnes. En effet, dès le début des années cinquante, la Cour a découvert dans le premier amendement, ainsi que dans le quatrième amendement (protection against unresonnable search and seizure), un droit à la confidentialité de certaines informations relatives aux personnes. Ces évolutions ont conduit le congrès à adopter le Privacy Act de 1974, qui sans unifier le droit de la protection des données personnelle, l érige néanmoins en droit constitutionnel. A l origine le Privacy Act était destiné à protéger les individus de la communication de leurs données personnelles par des organes de l Etat, surtout fédéral. 18 Affaire Griswold vs Connecticut.

20 Quant à l attitude américaine au regard de la protection des informations nominatives dans le cadre de la recherche dans le domaine de la santé, force est de constater que leur réaction fut rapide. En effet, les dispositions du Privacy act de 1974 furent aménagées dès 1991 par la «Federal Policy for Protection of Humans Subjects From Reseach Risks» 19, connue sous le nom de «Common Rule». La Privacy américaine se réfère au droit spécifique individuel d un individu de contrôler la collecte, l utilisation et la révélation de ses informations personnelles. La confidentialité est un instrument de protection de la Privacy. La confidentialité des données personnelles est réalisée par le contrôle de la restriction de leur accès et de leur révélation. La protection de la Privacy que constitue la Common Rule s applique dès lors que le chercheur obtient des informations individuelles permettant l identification, c est à dire, qui sont nominatives même indirectement. Cependant, la structure fédérale des Etats-Unis fait que la protection n est pas uniforme, c est à dire que la Common Rule ne s appliquera qu aux recherches «régulées» ou financées par l Etat fédéral. En complément du Privacy Act et de la Common Rule, d autres lois fédérales et réglementaires éxécutoires (implementing regulation) imposent une obligation de confidentialité des informations nominatives concernant la santé, notamment aux centres d aide à la fourniture de médicaments. Ces «régulations» ont force obligatoire et lient les législations étatiques. Le droit américain de la protection des données nominatives est donc éclaté entre les différentes dispositions fédérales ponctuelles et des législations étatiques diverses offrant des garanties souvent assez faibles 20. Ces législations étatiques ne sont pas un facteur de simplification du droit de la protection des informations nominatives aux Etats-Unis, d autan qu elles sont d une faible efficacité. Une grande majorité des Etats ont reconnu en Common Law 21 un droit d agir en réponse à une intrusion dans la vie privée 22. Cette action repose sur les «Torts», ce qui correspond plus ou moins à notre concept de responsabilité. Ce système connaît ses limites, d une part la protection est curative et non préventive, federal register Voir le classement des Etats américain en matière de données personnelles en annexes 21 Common Law doit s entendre au sens de l ensemble des Case Law. 22 au sens américain du terme.