A. Le chapitre V ter de la loi du 6 janvier 1978 l’encadrement des traitements de données médicales à des fins d’évaluation

Depuis la loi du 31 décembre 1991 portant réforme hospitalière (articles L710-6 et L 710-7 du code de la santé publique), les établissements de santé, dans le cadre de ce que l’on appelle le Programme de Médicalisation des Systèmes d’Information PMSI — système statistique d’évaluation de l’activité hospitalière utilisé en particulier pour le calcul des budgets hospitaliers —, sont tenus de fournir régulièrement à leur tutelle, et en particulier au ministère de la Santé, un certain nombre d’indicateurs sur leurs activités de soins, parmi lesquels des données individualisées par patient, les Résumés de Sortie Anonymes (RSA), qui indiquent, en particulier, pour chaque séjour, l’âge du patient, la durée de séjour, la pathologie diagnostiquée, les actes pratiqués, l’établissement où il a été hospitalisé. L’identité des patients n’est jamais révélée.

La même obligation est faite aux cliniques privées, tenues d’adresser à la CNAMTS et à l’Etat des résumés de sortie et des informations financières permettant ainsi l’élaboration d’une classification des prestations d’hospitalisation tenant compte des traitements par pathologie.

La CNIL a eu l’occasion de délibérer à de nombreuses reprises sur les modalités de mise en place du PMSI dans les établissements de santé tant publics que privés.

Au sein de chaque établissement de santé, les médecins responsables des départements d’information médicale ont pour mission de recueillir et de traiter les informations médicales qu’ils reçoivent de chaque service et de les retransmettre, sous la forme de résumés de sortie anonymes (RSA), à la direction de l’établissement ainsi qu’aux Agences régionales d’hospitalisation, aux directions régionales des affaires sanitaires et sociales, aux Caisses régionales d’assurance maladie, et au ministère de la Santé. Celui-ci les fait traiter par un de ses services, le centre de traitement de l’information du PMSI (CTIP).

Les RSA ont longtemps été jugés anonymes, comme ne permettant aucunement, ni directement, ni indirectement d’identifier les personnes, et donc considérés par la CADA comme des documents administratifs communicables. Ils pouvaient donc être transmis à tout tiers en faisant la demande : organismes de recherche, sociétés savantes, organes de presse.... A partir des informations ainsi transmises, " un palmarès " et un guide des hôpitaux ont ainsi été publiés en 1998 et en 1999.

Or, il s’est avéré à la suite de travaux statistiques menés en 1998 par la direction des hôpitaux, que ces " RSA " n’étaient pas si anonymes que cela et que l’exploitation des résumés permettait, dans un nombre considérable de cas, de connaître, par recoupement, le motif d’hospitalisation de personnes par ailleurs identifiées.

Saisie par la direction des hôpitaux de cette difficulté, la CNIL a tout d’abord constaté que les données figurant sur les RSA étaient certes moins anonymes qu’on le croyait mais beaucoup moins identifiantes que certains le disent. En effet, un résumé de sortie pris isolément ne permet pas à lui seul d’identifier une personne. Ce n’est que si l’on sait que Monsieur X a été hospitalisé ou est décédé à l’hôpital Y que l’exploitation des résumés de sortie sur cet hôpital permet sans difficulté de déterminer pour quel motif cette personne a été hospitalisée ou est décédée.

Dès lors, la Commission, tout en soulignant la nécessité d’un nouvel encadrement juridique, a tenu à rappeler que la protection des données à caractère personnel ne devait pas faire obstacle au droit à l’information et a donc considéré que, dans un esprit de transparence administrative, il importait de rechercher des solutions qui, tout en préservant la confidentialité des données, permettent de répondre aux besoins d’information exprimés, soit par la diffusion de statistiques soit par la diffusion de données individuelles dans des conditions à définir avec la CNIL.

Le Ministre de l’Emploi et de la Solidarité a estimé qu’un nouvel encadrement législatif devait intervenir au plus tôt.

C’est dans ces conditions qu’un article spécifique a été introduit dans le projet de loi relatif à la couverture maladie universelle.

La CNIL, saisie du projet de loi, a rendu le 18 février 1999 un avis défavorable sur le texte qui lui était présenté en particulier au motif que la procédure d’autorisation alors prévue — demande d’avis auprès d’un comité ad hoc et demande d’autorisation auprès de la CNIL — était, compte tenu du caractère très indirectement nominatif des données concernées, excessive et inopportune.

Le projet de loi finalement soumis au Parlement a confié cependant à la CNIL la mission d’autoriser la communication des données.

Cette disposition, qualifiée, au cours des débats parlementaires " d’article liberticide, d’atteinte à la liberté de la presse et au droit à l’information de tous les français sur le système de soins ", a suscité d’assez vives controverses et, comme d’autres dispositions de la loi CMU a fait l’objet d’un recours devant le Conseil Constitutionnel au motif que cet article porterait atteinte à la liberté de communication énoncée à l’article 11 de la Déclaration des droits de l’homme et du citoyen et que les formalités prévues auprès de la CNIL, ne constituaient pas, selon les requérants, " une garantie suffisante pour éviter la rupture de l’anonymat ".

Le Conseil, après avoir rappelé qu’il résultait des termes mêmes de la loi, que les données de santé, si elles n’étaient ni directement ni indirectement nominatives, pouvaient être librement communiquées, a considéré qu’en subordonnant la communication des données de santé susceptibles de permettre l’identification des personnes à l’autorisation de la CNIL, le législateur avait, sans méconnaître l’article 11 de la Déclaration des droits de l’homme et du citoyen, fixé en l’espèce des modalités assurant le respect de la vie privée.

Cette disposition (article 41 de la loi du 27 juillet 1999 portant création d’une couverture maladie universelle) a en conséquence été déclarée conforme à la Constitution.

La loi informatique et libertés comporte désormais un chapitre V ter consacré " aux traitements de données personnelles de santé à des fins d’évaluation ou d’analyse des activités de soins et de prévention " ; cinq nouvelles dispositions (articles 40-11 à 40-15) ont ainsi été ajoutées à la loi.

Le dispositif législatif adopté — plus large que le champ d’application initialement envisagé — a pour objet de préciser les conditions dans lesquelles des données de santé, qu’elles soient issues des professionnels de santé eux-même, des systèmes d’information hospitaliers, ou des fichiers des caisses de sécurité sociale, peuvent être diffusées et exploitées à des fins d’évaluation des pratiques de soins et de prévention.

Tout en rappelant le principe d’anonymat qui doit présider à la transmission des données tant aux autorités sanitaires qu’aux tiers, l’article 40-12 prévoit cependant des dérogations à ce principe et la possibilité de transmettre des données indirectement nominatives sous réserve notamment qu’elles ne comportent ni le nom, ni le prénom du patient, ni son numéro de sécurité sociale et que la communication des données soit autorisée par la CNIL.

Une procédure spécifique d’autorisation a donc été instituée pour les traitements de données personnelles de santé réalisés à des fins statistiques d’évaluation ou d’analyse des pratiques et des activités de soins et de prévention.

L’article 40-13 de la loi précise l’étendue du contrôle de la CNIL et prévoit ainsi que pour chaque demande, la CNIL vérifie " les garanties présentées par le demandeur pour l’application des présentes dispositions et, le cas échéant, la conformité de sa demande à ses missions ou à son objet social ", " s’assure de la nécessité de recourir à des données personnelles et de la pertinence du traitement au regard de sa finalité déclarée d’évaluation ou d’analyse des pratiques de soins et de prévention ".

Il appartient également à la Commission de déterminer la durée de conservation des données et d’apprécier les dispositions prises pour assurer leur sécurité et la garantie des secrets protégés par la loi.

A l’égal de la procédure d’autorisation prévue pour les fichiers de recherche médicale, la loi n’opère aucune distinction entre secteur public et secteur privé.

L’article 40-14 prévoit que la commission dispose d’un délai de deux mois, renouvelable une fois, pour se prononcer. A défaut de réponse dans ce délai, ce silence vaut décision de rejet et non accord tacite, comme c’est le cas pour les demandes d’avis et les demandes d’autorisation pour les fichiers de recherche, présentées respectivement en application des articles 15 et 40-2 de la loi.

Enfin, dans le souci d’alléger les procédures, l’article 10 de la loi du 6 janvier 1978 a été complété de façon à permettre à la Commission de déléguer au président de la CNIL ses attributions en ce qui concerne l’examen des demandes et la délivrance des autorisations.

Un décret du 27 octobre 1999 a précisé les modalités d’instruction, par la Commission, des demandes d’autorisation.

La revue Sciences et Avenir et le Figaro magazine ont été les premiers à saisir la CNIL de demandes d’autorisation pour obtenir communication des résumés de sortie anonymes issus des bases nationales constituées en 1997 et en 1998 par la direction des Hôpitaux et par la CNAMTS à partir des informations fournies par les établissements de santé publics et privés dans le cadre du Programme de Médicalisation des Systèmes d’Information (PMSI).

Dans un cas comme dans l’autre, il s’agit de réaliser une analyse de l’activité hospitalière tant publique que privée, ceci dans la perspective de publier en particulier un classement, établissement par établissement, des hôpitaux et des cliniques, selon un certain nombre de critères.

L’objectif est très clairement d’informer le public sur l’activité hospitalière en France, sous la forme d’un palmarès des hôpitaux, à l’égal de ce qui se fait déjà depuis plusieurs années aux Etats-Unis.

En premier lieu, la CNIL a demandé que les deux revues s’engagent, par écrit, à respecter et à faire respecter, en particulier par la société sous traitante, les règles suivantes :

— n’utiliser les fichiers transmis qu’à des fins d’analyse comparative de l’activité hospitalière ;

— respecter et faire respecter le secret des informations cédées par toutes les personnes susceptibles de travailler sur ces données, ces personnes étant astreintes par écrit au secret professionnel ;

— prendre toutes précautions utiles afin de préserver la sécurité des informations ainsi transmises et notamment d’empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés ;

— ne pas rétrocéder ou divulguer à tout tiers les informations fournies sous quelque forme que ce soit ;

— ne pas procéder à des rapprochements, interconnexions, mises en relation, appariements avec tout fichier de données directement ou indirectement nominatives ou toute information susceptible de révéler l’identité d’une personne ou/et son état de santé ;

— ne pas utiliser de façon détournée les informations transmises, notamment à des fins de recherche ou d’identification des personnes ;

— diffuser les résultats uniquement sous forme de statistiques agrégées de telle sorte que les personnes ne puissent être identifiées ;

— à la fin de la durée autorisée de conservation des RSA, procéder à la destruction de tous les fichiers informatisés stockant les informations de base et les informations traitées ainsi que les supports des informations.

En deuxième lieu, la CNIL s’est attachée à concilier l’intérêt des études et publications projetées et la vie privée des patients dont il convenait d’éviter toute réidentification possible.

A ce titre, la communication de l’information relative au mois de sortie du patient n’a pas été autorisée. En pratique, cette information n’est pas utile pour déterminer la durée du séjour qui figure, en tant que telle, dans le RSA. En revanche le mois de sortie est de nature à permettre une identification indirecte des personnesn concernées.

S’agissant des informations administratives sur le patient, la Commission a estimé que l’indication précise de l’âge devait être remplacée par la notion de tranches d’âge de 5 ans en 5 ans. De même, la CNIL a autorisé la communication de l’information relative au département de résidence des patients mais non le code postal de la commune.

S’agissant enfin de la communication de l’indication du décès du patient, la Commission, tout en considérant que l’analyse de la mortalité hospitalière était un objectif d’étude parfaitement légitime, a toutefois estimé que la transmission systématique de l’indication relative aux décès n’apparaissait pas, en l’état, pertinente dans la mesure où, selon les indications fournies par la direction des hôpitaux, cette rubrique n’étant systématiquement remplie que pour certaines pathologies spécifiques, la fiabilité des études de mortalité projetées ne saurait reposer sur un champ informationnel insuffisamment renseigné. En revanche, la Commission a considéré que les journaux devaient avoir communication de cette information lorsque pour certaines pathologies déterminées, l’indication du décès figure dans la classification des groupes homogènes de malades, sous des codes spécifiques.

Au début de l’année 2000, la CNIL, suivant la méthodologie d’instruction adoptée pour les deux premières demandes, a autorisé trois études présentées respectivement par la Fédération des établissements hospitaliers et d’assistance privés à but non lucratif (FEHAP) qui souhaitait obtenir à des fins d’évaluation de l’activité hospitalière des données issues du PMSI, par l’Agence régionale de l’hospitalisation d’Ile de France, qui envisageait de recueillir des données auprès des services d’urgence à des fins d’analyse de la stratégie thérapeutique dans l’infarctus du myocarde et enfin, par le Comité médical paritaire local des médecins généralistes de Paris, organisme paritaire associant l’assurance maladie et les syndicats médicaux qui, dans le cadre d’une étude portant sur l’évaluation collective des prescriptions médicales dans la rhinopharyngite de l’enfant, souhaitait recueillir des données auprès de médecins généralistes. (délibérations no 00-001, 00- 002 et 00-00 3 du 13 janvier

2000).

Délibération no 99-061 du 21 décembre 1999 portant autorisation de mise en œuvre par la revue " Sciences et avenir " d’un traitement de données personnelles de santé à des fins d’analyse statistique des pratiques et des activités de soins

La Commission Nationale de l’Informatique et des Libertés,

Vu la Convention no 108 du 28 janvier 1981 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la loi no 78-17 du 6 janvier 1978 modifiée relative à l’informatique aux fichiers et aux libertés et notamment son chapitre V ter ;

Vu le décret no 78774 du 17 juillet 1978 modifié et notamment son chapitre

IV ;