Commission pour la Protection de la Vie Privée - Avis du 24 mai 2006 (Belgique)

Date de publication :
24-05-2006
Langue :
Français - Néerlandais
Taille :
12 pages
Section :
Jurisprudence
Source :
Justel 20060524-7
Numéro de rôle :
14/2006

Résumé

Sommaire 1

------------------------------
(vide)
------------------------------

---------------------------------------------------
(vide)
---------------------------------------------------

Avis relatif au projet d'arrêté royal déterminant les règles suivant lesquelles certaines données hospitalières doivent être communiquées au Ministre qui a la Santé publique dans ses attributions.

http://jure.juridat.just.fgov.be/view_decision.html?justel=F-20060524-7&idxc_id=29090&lang=FR
---------------------------------------------------


Avis

La Commission de la protection de la vie privée ;
Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel (ci-après " la LVP "), en particulier l'article 29 ;
Vu la demande de monsieur Rudy Demotte, Ministre des Affaires sociales et de la Santé publique, reçue le 24 février 2006 ;
Vu le rapport de monsieur E. Gheur ;
Emet, le 24 mai 2006, l'avis suivant :
I. OBJET DE LA DEMANDE D'AVIS
1. Monsieur Rudy Demotte, Ministre des Affaires sociales et de la Santé publique, demande l'avis de la Commission au sujet d'un projet d'arrêté royal déterminant les règles suivant lesquelles certaines données hospitalières doivent être communiquées au Ministre qui a la Santé publique dans ses attributions.
1.1 Contexte de la demande
2. Le projet d'arrêté royal vise à déterminer les règles suivant lesquelles certaines données hospitalières doivent être communiquées au Ministre de la Santé publique dans le but de soutenir la politique sanitaire à mener.
Les données à communiquer sont énumérées en partie dans le projet en lui-même et en partie dans 2 annexes au projet.
3. Le projet d'arrêté royal implique en fait une révision complète de l'arrêté royal du 6 décembre 1994 déterminant les règles suivant lesquelles certaines données doivent être communiquées au Ministre qui a la Santé publique dans ses attributions.
L'arrêté royal du 6 décembre 1994 est dès lors abrogé par le présent projet, notamment par l'article 16.
4. Le projet d'arrêté royal, tout comme le précédent, donne exécution à l'article 86 de la loi sur les hôpitaux, coordonnée le 7 août 1987.
Cet article est rédigé comme suit :
"Le gestionnaire de l'hôpital est tenu de communiquer au Ministre qui a la Santé publique dans ses attributions, selon les modalités prévues par le Roi, et dans les délais qu'il fixe, la situation financière, les résultats d'exploitation, le rapport visé à l'article 82, et tous renseignements statistiques se rapportant à son établissement et aux activités médicales, ainsi que l'identité du directeur et/ou de la ou des personnes chargées des communications précitées.
Les données visées à l'alinéa 1er se rapportant aux activités médicales ne peuvent pas comprendre de données qui identifient directement la personne physique sur laquelle elles portent. Aucun acte ne peut être posé qui viserait à établir un lien entre ces données et la personne physique identifiée à laquelle elles se rapportent, à moins que celui-ci soit nécessaire pour faire vérifier par (les fonctionnaires, les préposes ou les médecins-conseils) désignés dans l'article 115 la véracité des données communiquées.
Le Roi peut étendre, en tout ou en partie et moyennant les adaptations qui s'imposeraient, les dispositions des alinéas précédents aux services médicaux ou médico-techniques visés à l'article 44 et créés en dehors d'un contexte hospitalier."
1.2 Antécédents
5. Le 9 mai 1994, la Commission de la protection de la vie privée a rendu, sous réserve de certaines observations et recommandations, l'avis favorable n° 13/94 concernant le projet d'arrêté royal déterminant les règles suivant lesquelles certaines données doivent être communiquées au Ministre qui a la Santé publique dans ses attributions (adopté le 6 décembre 1994).
6. Le nombre de données hospitalières qui devaient être communiquées au Ministre de la Santé publique dans le cadre de cet arrêté royal du 6 décembre 1994 était significativement inférieur au nombre prévu dans le présent projet d'arrêté royal et il n'était pas question d'enregistrement des données dans le cadre de la fonction "service mobile d'urgence". L'objectif, tel que décrit dans l'arrêté royal (article 2 de l'arrêté royal de 1994 et article 3 du présent projet), est néanmoins resté quasiment identique.
7. En 1994, la Commission estimait ce qui suit :
"Ces finalités sont légitimes et les données enregistrées dans l'aperçu clinique paraissent adéquates, pertinentes et non excessives au regard de ces finalités.
Les données ont un caractère anonyme et ne comportent pas à elles seules de risque décelable d'identification des personnes.
Enfin, il conviendrait de préciser que le numéro d'enregistrement unique du patient, prévu par l'article 2, 2.2 du projet ne peut comporter aucun élément d'ordre personnel relatif au patient, tel que sa date de naissance.
Rappelons encore qu'il conviendrait de supprimer l'indication de l'année de naissance du patient.
La Commission souhaite que les finalités du résumé clinique minimum, exposées dans les considérants du projet d'arrêté royal, fassent l'objet d'une disposition de l'arrêté royal qui pourrait être l'article 1er.
Il est en outre recommandé de préciser dans une disposition particulière (par exemple : article 2, 5 que toute identification des patients est interdite."
8. A cette époque, l'article 86, deuxième alinéa, de la loi sur les hôpitaux stipulait encore ce qui suit :
"Les données visées à l'alinéa 1er se rapportant aux activités médicales doivent être anonymes."
9. La loi du 12 août 2000 portant des dispositions sociales, budgétaires et diverses a modifié ce deuxième alinéa de l'article 86 de la loi sur les hôpitaux comme suit :
"Les données visées à l'alinéa 1er se rapportant aux activités médicales ne peuvent pas comprendre de données qui identifient directement la personne physique sur laquelle elle portent."
Par cette modification, les données anonymes pouvaient donc être remplacées par des données codées, selon les définitions données ultérieurement par l'arrêté royal du 13 février 2001 portant exécution de la loi du 8 décembre 1992.
10. La Commission constate que l'avis n° 13/94 a été rendu sur la base de la LVP en vigueur à l'époque, laquelle a cependant été modifiée ultérieurement par la loi du 11 décembre 1998 transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données.
II. EXAMEN DE LA DEMANDE D'AVIS
2.1 Nature des données et des traitements au sens de la LVP
11. Le projet d'arrêté royal mentionne de manière détaillée les données qui feront l'objet du traitement visé.
12. Une distinction est tout d'abord faite entre d'une part le "résumé hospitalier minimum" (Titre 1 du projet d'arrêté royal), et d'autre part les "données dans le cadre de la fonction service mobile d'urgence" (Titre 2 du projet d'arrêté royal).
13. Le "résumé hospitalier minimum" comprend :
- d'une part, des données administratives (article 12), incluant des données d'identification (de l'hôpital, du patient et du séjour au moyen de numéros "'uniques"), des données du patient (année de naissance, sexe, commune/pays, nationalité, assurance, réadmission) et des données relatives au séjour (entre autres, admission et départ, journées d'hospitalisation à facturer, instance d'adressage, destination du patient après son départ, mention de la (des) spécialité(s), mention des unités de soins) ;
- d'autre part, des données médicales (entre autres, diagnostic(s), cause du décès, interventions et examens, résultats de laboratoire).
Le "résumé hospitalier minimum" à communiquer comprend également des données infirmières (détail des soins infirmiers administrés).
Le "résumé hospitalier minimum" à communiquer comprend également des données relatives au personnel, incluant le personnel disponible et le nombre d'heures prestées.
14. Les "données dans le cade de la fonction de service mobile d'urgence" comprennent :
- d'une part, des données administratives, incluant la fonction SMUR, des données relatives à l'intervention SMUR (entre autres, numéro d'intervention, date et heure de l'appel) et des informations relatives au patient (numéro de fiche SMUR, sexe, année de naissance, résidence principale, hôpital, moment du décès) ;
- d'autre part, des données médicales, incluant la pathologie et le traitement.
15. Ces données sont au minimum des données à caractère personnel "ordinaires" (non sensibles) au sens de l'article 1 de la LVP mais de surcroît, nombre d'entre elles sont des données à caractère personnel relatives à la santé au sens de l'article 7 de la LVP et qui, en raison de leur caractère sensible, sont soumises à un régime de protection renforcé.
16. Les données précitées sont enregistrées et traitées par les hôpitaux dans le cadre de l'administration des soins de santé, du traitement et de la facturation. Elles doivent ensuite être communiquées au Ministre de la Santé publique afin de soutenir la politique sanitaire à mener.
17. Le traitement prévu dans le projet d'arrêté royal concerne donc un traitement ultérieur de données ordinaires et de données relatives à la santé à des fins statistiques et scientifiques, en appui de la prise de décision publique.
18. L'article 4, ,§ 1, 2° de la LVP stipule ce qui suit : "Les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des prévisions raisonnables de l'intéressé et des dispositions légales et réglementaires (...)".
19. Un traitement ultérieur constitue par conséquent un traitement de données collectées initialement pour une finalité déterminée, en vue d'une autre finalité. L'appréciation de la compatibilité de la finalité ultérieure avec la finalité première se fait in concreto, en tenant compte de tous les facteurs pertinents.
La loi mentionne cependant, à titre d'exemple, deux éléments qui pourraient permettre de considérer comme compatibles les finalités de traitements successifs.
Il s'agit des cas suivants :
1) lorsque le traitement ultérieur est prévu par une disposition légale ou réglementaire ET entre dans le cadre des prévisions raisonnables de l'intéressé ;
2) lorsque le traitement ultérieur vise des finalités historiques, statistiques ou scientifiques et a lieu dans le respect des conditions stipulées au chapitre II de l'arrêté royal du 13 février 2001 et après avis de la Commission.
20. Lorsque les données à caractère personnel sont réutilisées à des fins statistiques ou scientifiques et qu'une telle réutilisation n'est pas incompatible avec la finalité initiale, il importe d'appliquer le système général valable pour les traitements de données à caractère personnel.
21. Une base légale ou réglementaire légitimant un traitement ultérieur de données à caractère personnel ne porte pas préjudice au respect des principes de la LVP.
Une base légale ou réglementaire qui ne concrétise pas les garanties telles que précisées dans la LVP ne suffit donc pas à légitimer l'exception prévue à l'article 4, ,§ 1, 2° de la même loi.
22. La Commission ne peut s'empêcher d'avoir l'impression qu'une contradiction subsiste à l'article 12, 1°, où l'on énumère les données administratives à enregistrer dans le cadre du résumé hospitalier minimum à communiquer, en particulier au point b).
L'on parle d'une part du "numéro d'enregistrement du patient, qui doit être unique par hôpital" et l'on mentionne d'autre part ce qui suit : "et qui sera unique pour tous les hôpitaux belges".
Il convient au minimum d'éclaircir ce point et d'éliminer toute confusion et contradiction.
2.2 Finalité, légitimité et proportionnalité du traitement
2.2.1 Finalité
23. L'objectif du traitement visé est de soutenir la politique sanitaire à mener.
24. En ce qui concerne l'enregistrement du résumé hospitalier minimum, l'article 3 du projet d'arrêté royal définit la finalité du traitement comme suit :
",§ 1 L'enregistrement du Résumé Hospitalier Minimum a pour objectif de soutenir la politique sanitaire à mener, en ce qui concerne notamment :
1° la détermination des besoins en matière d'établissements hospitaliers ;
2° la description des normes d'agrément qualitatives et quantitatives des hôpitaux et de leurs services ;
3° l'organisation du financement des hôpitaux ;
4° la définition de la politique relative à l'exercice de l'art de guérir ;
5° la définition d'une politique épidémiologique.
,§ 2 L'enregistrement du Résumé Hospitalier Minimum a également pour objectif de soutenir la politique au sein des hôpitaux, notamment par le biais d'un feed-back général et individuel de sorte que les hôpitaux puissent se positionner et de sorte que les hôpitaux puissent corriger leur politique interne."
25. En ce qui concerne l'enregistrement des données dans le cadre de la fonction "service mobile d'urgence", l'article 19 du projet d'arrêté royal définit la finalité du traitement comme suit :
"L'enregistrement des données SMUR vise à soutenir la politique de la santé à mener, entre autres en ce qui concerne :
1° l'évaluation de la programmation des fonctions "SMUR" agréées, en particulier de sorte que la programmation soit suffisante en fonction de la répartition géographique et en fonction du nombre de "SMUR" qui sont intégrés dans le fonctionnement de l'aide médicale urgente en vertu de l'article 1er de l'arrêté ministériel du 29 janvier 2003 intégrant des fonctions "service mobile d'urgence" agréées dans le fonctionnement de l'aide médicale urgente ;
2° l'évaluation du fonctionnement des fonctions "SMUR", plus précisément dans le domaine d'une prise en charge adéquate et immédiate des malades ou des victimes d'accidents."
26. Conformément à l'article 4, ,§ 1, 2° de la LVP, les données à caractère personnel ne peuvent être collectées que pour des finalités déterminées et explicites. La définition des finalités visées doit par conséquent être la plus précise, la plus détaillée et la plus complète possible, surtout en raison du caractère particulièrement sensible de la plupart des données collectées.
27. A la lecture des articles 3 (et 19) du projet d'arrêté royal, les finalités du traitement semblent être spécifiées comme étant un certain nombre de domaines d'étude et de politique très larges et relativement disparates.
Une telle formulation générale et large des "finalités" visées par le traitement ne permet pas d'apprécier facilement et valablement la pertinence et la proportionnalité des données collectées. Une telle formulation légitime en fait le traitement de quasiment toutes les données enregistrées dans un hôpital.
28. En ce qui concerne le droit d'ingérence d'une autorité publique dans le droit au respect de la vie privée en vertu d'une loi (article 8, ,§ 2 CEDH ), la Commission a attiré l'attention à plusieurs reprises sur la jurisprudence de la Cour européenne des droits de l'homme qui stipule qu'une telle loi doit être "de qualité", à savoir qu'elle doit déterminer de manière suffisamment précise les conditions et circonstances dans lesquelles les autorités publiques peuvent utiliser et conserver des informations relatives à la vie privée.
29. La Commission reconnaît que, dans le cadre de l'appui de la politique, les finalités évoquées, bien que très largement définies, semblent peut-être être légitimes à proprement parler, mais se pose toutefois des questions quant à la pertinence et à la proportionnalité d'une telle quantité de données à caractère personnel à collecter dans le cadre de ces finalités, telles qu'énumérées dans le projet d'arrêté royal.
2.2.2 Proportionnalité
30. L'article 4, ,§ 1, 3° de la LVP stipule que les données à caractère personnel collectées doivent être obligatoirement pertinentes et non excessives au regard des finalités du traitement.
31. Comme déjà mentionné, une telle formulation générale et large des "finalités" visées par le traitement (point 2.2.1, ,§,§ 22 et 23) ne permet pas d'apprécier facilement et valablement la pertinence et la proportionnalité des données collectées. Une telle formulation peut en fait légitimer le traitement de quasiment toutes les données enregistrées dans un hôpital.
32. La Commission comprend que, dans le cadre d'un appui efficace de la politique, une telle quantité de données est indispensable, mais, étant donné le fait que l'on ne doit plus travailler avec des données anonymes et vu l'accroissement (au regard de l'arrêté royal de 1994) du nombre de données collectées, la Commission estime qu'un encadrement et une structure complémentaires s'imposent. Il conviendrait au moins d'indiquer, par une subdivision en catégories par exemple, quelles données à caractère personnel sont collectées pour quelles finalités.
Ces finalités définies très largement doivent en effet être appréciées en tenant compte du contexte fortement modifié depuis 1994, tant sur le plan légal que sur le plan des possibilités techniques permettant la réidentification des données.
Commission de surveillance et d'évaluation
33. Bien que la Commission estime que l'appréciation de la légalité d'un traitement de données à caractère personnel relève de sa compétence à l'égard des principes de finalité, de proportionnalité, de pertinence et de transparence, elle ne dispose toutefois pas forcément de toutes les connaissances professionnelles nécessaires pour apprécier, d'un point de vue technique, l'utilité et la qualité du traitement de données.
Cela vaut d'autant plus pour les traitements effectués dans le cadre de domaines d'expertise complexes.
34. Dans ce contexte, un avis préalable d'une commission spécialisée en la matière pourrait probablement générer plus de clarté de sorte que la Commission puisse apprécier la pertinence et la proportionnalité des données collectées au regard des finalités de l'étude.
35. A cet égard, il peut être renvoyé à l'arrêté royal du 6 décembre 1994 établissant une Commission pour la supervision et l'évaluation des données statistiques qui concernent les activités médicales dans les hôpitaux. Cet arrêté royal et la Commission qu'il crée ont cependant été abrogés par l'arrêté royal du 8 avril 2003.
36. L'abrogation de cette Commission de supervision et d'évaluation des données statistiques qui concernent les activités médicales dans les hôpitaux aurait été la conséquence de l'introduction d'une "Structure multipartite en matière de politique hospitalière" par la loi du 29 avril 1996 portant des dispositions sociales, Chapitre XII, articles 153 e.s. (conformément à une explication téléphonique donnée par des collaborateurs du SPF Santé publique).
L'article 154 de la loi du 29 avril 1996 dispose en effet ce qui suit :
"Les ministres qui ont la Santé publique et les Affaires sociales dans leurs attributions peuvent solliciter l'avis de la Structure multipartite sur :
2° l'enregistrement, la collecte, le traitement et l'utilisation des données statistiques relatives aux activités médicales, visées à l'article 86 de la loi sur les hôpitaux, coordonnée le 7 août 1987 ;
3° les mesures à prendre afin de garantir la fiabilité et la confidentialité des données visées au 2°, notamment la méthodologie visée a l'article 86ter, ,§ 3, 1° de la loi sur les hôpitaux, coordonnée le 7 août 1987 ;(...)".
37. Un avis préalable de la "Structure multipartite" précitée pourrait probablement, le cas échéant, contribuer à une évaluation plus fine et plus complète de la pertinence et de la proportionnalité des données collectées.
38. Le législateur a également exprimé, à l'article 86ter de la loi sur les hôpitaux, sa préoccupation de soumettre la collecte de données à un organe spécialisé: "Au sein du Service public fédéral Santé publique, Sécurité de la chaîne alimentaire et Environnement, une Commission pour le contrôle de l'enregistrement des données relatives à l'activité médicale à l'hôpital et pour l'évaluation d'une politique justifiée en matière d'admissions peut être créée, ci-après dénommée 'la Commission'."
39. La Commission constate également que l'article 18 de la loi sur les hôpitaux prévoit ce qui suit : "Il est institué auprès du Ministère de la Santé publique, un Conseil national des établissements hospitaliers qui a pour mission d'émettre un avis sur tout problème relatif aux hôpitaux (...) Les compétences du Conseil national des établissements hospitaliers, tel que visé dans la présente loi, sont exercées, sous réserve de l'application des articles 154 et 154ter de la loi du 29 avril 1996 portant des dispositions sociales."
40. Il ressort des considérations exposées ci-dessus qu'il serait souhaitable d'obtenir un avis préalable quant au caractère pertinent et non excessif des données à collecter au regard des traitements visés, et ce par l'organe le plus approprié ou les organes les plus appropriés parmi ceux prévus par la loi.
2.2.3 Des données anonymes aux données à caractère personnel non codées
41. Pour le surplus, la Commission constate encore dans le texte du projet d'arrêté royal une certaine imprécision et même une contradiction dans l'utilisation des termes "anonyme", "code", "identification", notamment à l'article 9 du projet qui stipule ce qui suit :
"Les données à caractère personnel incorporées dans la banque de données du Résumé Hospitalier sont enregistrées de manière anonyme au sein du Service public fédéral Santé publique, sécurité de la chaîne alimentaire et Environnement au moyen d'un code électronique. Le praticien professionnel des soins de santé visé à l'article précédent gère ce code."
42. A toutes fins utiles, la Commission rappelle quelques définitions à cet égard :
Données à caractère personnel : "toute information concernant une personne physique identifiée ou identifiable (...) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale."
Données à caractère personnel codées : "les données à caractère personnel qui ne peuvent être mises en relation avec une personne identifiée ou identifiable que par l'intermédiaire d'un code."
Données à caractère personnel non codées : "les données à caractère personnel qui ne sont pas codées."
Données anonymes : "les données qui ne peuvent être mises en relation avec une personne identifiée ou identifiable et qui ne sont donc pas des données à caractère personnel."
43. Eu égard aux définitions précitées et dans le cadre du traitement visé par le projet d'arrêté royal, on ne peut pas parler, de "données anonymes" ni de données "enregistrées de manière anonyme au moyen d'un code électronique" (voir article 9 du projet).
44. La Commission estime en outre qu'il ne s'agit pas seulement de "données à caractère personnel codées", mais même d'un certain nombre de "données à caractère personnel non codées", soulevant la question de savoir si le projet d'arrêté royal satisfait à l'exigence de l'article 86, deuxième alinéa de la loi sur les hôpitaux, notamment :
"Les données visées à l'alinéa 1er se rapportant aux activités médicales ne peuvent pas comprendre de données qui identifient directement la personne physique sur laquelle elle portent. (...)"
45. L'on collecte en effet des données permettant (presque directement) l'identification de l'intéressé, par exemple : date d'admission et date de départ (article 12, 3°, a)), adresse de l'endroit où l'intervention a eu lieu et résidence principale du patient (article 23, 2°, e) et 3° d)).
Etant donné le nombre très important de données collectées, la combinaison de certaines données permettra (dans certains cas) d'identifier directement l'intéressé, de manière certaine. Ce risque de réidentification avait déjà été souligné par la Commission dans son avis n° 13/94 du 9 mai 1994.
46. A cet égard, la Commission souhaite également rappeler que le principe de proportionnalité, prévu à l'article 4, ,§ 1, 3° de la LVP, implique que ce n'est que dans la mesure où la finalité du traitement est impossible à réaliser au moyen de données codées que des données à caractère personnel non codées peuvent être utilisées.
47. La Commission attire l'attention sur un avis du Conseil national de l'ordre des médecins du 16 juillet 2005 qui reprécise encore et de manière très claire que (I) le respect de la vie privée constitue un principe directeur essentiel tout au long du processus de traitement de données médicales personnelles, (II) tout traitement doit être organisé de manière à répondre aux impératifs stricts fixés par la LVP, (III) le traitement ne peut être effectué au mépris des principes indispensables de confiance mutuelle entre médecin et patient et notamment au mépris du secret professionnel.
48. La Commission estime dès lors que l'article 9 du projet d'arrêté royal doit être reformulé en tenant compte des remarques précitées et en respectant à cet égard les particularités des définitions de l'arrêté royal du 13 février 2001 portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.
49. Afin de garantir le respect des principes susmentionnés de la LVP et de quand même atteindre les finalités souhaitées en matière de politique menée ou de soutien à la politique, l'instauration d'une organisation intermédiaire au sens de l'arrêté royal du 13 février 2001 portant exécution de la LVP pourrait être envisagée.
Cette organisation intermédiaire, qui ne traiterait pas les données collectées et conservées sur le plan du contenu, aurait pour mission de les rassembler, de les conserver, de les coder ou de les rendre anonymes et de mettre ces données codées ou anonymes à la disposition de ceux qui doivent les traiter pour les finalités présupposées, tout en respectant la réglementation et les autorisations éventuellement nécessaires d'un comité sectoriel institué au sein de la Commission de la protection de la vie privée. Concernant les avantages d'une telle organisation intermédiaire et les conditions dans lesquelles elle peut être établie, on renvoie au considérant 67 de cet avis. En tout cas, il semble souhaitable de réglementer via des lois ou des règlements le fonctionnement d'une telle organisation intermédiaire.
2.3 Délai de conservation des données
50. L'article 6 in fine du présent projet d'arrêté royal prévoit ce qui suit : "Les pièces attestant du contrôle et de la validation des données hospitalières doivent être disponibles à tout moment à l'hôpital pendant cinq ans."
51. Par ailleurs, le projet d'arrêté royal ne fait nullement mention d'un délai de conservation des données dans le chef du responsable du traitement, le Ministre qui a les Affaires sociales dans ses attributions.
52. La Commission rappelle que l'article 4, ,§ 1, 5° de la LVP prévoit que les données à caractère personnel ne peuvent être conservées que pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement.
53. Il est donc recommandé de fixer, dans le projet d'arrêté royal, un délai maximal au terme duquel toutes les informations à caractère personnel doivent être détruites.
54. La Commission constate que le projet d'arrêté n'est également pas conforme à la LVP pour cet aspect.
2.4 Responsabilité et mesures de sécurité
55. La Commission souhaite rappeler et souligner que, en application de l'article 7, ,§ 4 de la LVP, les données à caractère personnel relatives à la santé, même codées, ne peuvent être traitées que sous la responsabilité d'un professionnel des soins de santé. La divulgation de ces données tombe sous le coup de l'article 458 du Code pénal, relatif au secret professionnel.
56. En outre, l'article 16 de la LVP impose de "prendre les mesures techniques et organisationnelles requises pour protéger les données à caractère personnel (...)" et précise que "Ces mesures doivent assurer un niveau de protection adéquat, compte tenu, d'une part, de l'état de la technique en la matière et des frais qu'entraîne l'application de ces mesures et, d'autre part, de la nature des données à protéger et des risques potentiels."
57. Les données à caractère personnel relatives à la santé sont d'une nature à justifier des mesures de sécurité plus strictes.
58. La Commission estime que le professionnel des soins de santé responsable du traitement doit prendre au minimum les mesures suivantes :
- dresser une liste nominative des personnes à qui l'accès à ces données médicales est autorisé et faire signer par ces personnes un engagement de confidentialité ;
- déterminer les modalités des procédures écrites qui définissent la protection des données relatives à la santé et qui en limitent le traitement à un traitement conforme aux finalités mentionnées dans l'avant-projet d'arrêté ;
- mettre en oeuvre les mesures techniques et organisationnelles qui garantissent que seules les personnes autorisées auront accès aux données à caractère personnel.
2.5 Communication à des tiers
59. L'article 10 du projet d'arrêté royal prévoit ce qui suit : "Les informations qui sont reprises dans la banque de données des données hospitalières peuvent être mises à la disposition des pouvoirs publics visés aux articles 128, 130 et 135 de la Constitution dans le cadre d'un protocole, d'accord ou, à défaut, en adressant une demande motivée au responsable du traitement."
60. L'article 11 du projet d'arrêté royal prévoit en outre ce qui suit : "Les données personnelles qui sont reprises dans la banque de données des données hospitalières peuvent être mises à la disposition de tiers dans le cadre d'une étude unique et temporaire.
A cet effet, le demandeur doit :
a) adresser une demande motivée au responsable du traitement, dans laquelle il est expliqué de quelles données il souhaite disposer et pour quelle étude, quelle application, quelle durée, ... ;
b) disposer de l'autorisation de principe du Comité sectoriel compétent visé à l'article 31bis de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel ;
c) détruire les données après que l'étude concernée est terminée.
Les données anonymes qui sont reprises dans la banque de données des données hospitalières peuvent être mises à la disposition de tiers dans le cadre d'une étude unique et temporaire en application du point a) de la procédure expliquée à l'alinéa précédent."
61. La communication de données à caractère personnel à des tiers constitue aussi un "traitement" au sens de la LVP ; ce traitement doit également satisfaire à l'article 4, ,§ 1, 2° de la LVP.
62. A la lecture de l'article 86 de la loi sur les hôpitaux d'une part, et des articles 3 et 19 du projet d'arrêté royal d'autre part, il semble que la transmission précitée de données à caractère personnel à d'autres pouvoirs publics (en fait, de manière illimitée
) et à des tiers ne répond pas, en tant que telle et dans sa forme actuelle, à une finalité "compatible", déterminée, explicite et légitime, compte tenu de tous les facteurs pertinents, notamment des prévisions raisonnables de l'intéressé et des dispositions légales et réglementaires applicables.
63. De plus, les textes examinés n'apportent aucun élément qui permettrait de légitimer cette (ces) transmission(s) de données ; il n'est pas précisé non plus quelles données pourraient être communiquées ou non ; il est par conséquent impossible d'apprécier la pertinence et la proportionnalité d'une (de) telle(s) transmission(s) de données. Le fait de prévoir (et ce uniquement pour les "tiers" mentionnés à l'article 11 du projet) une autorisation du comité sectoriel compétent visé à l'article 31bis de la LVP est insuffisant pour compenser les lacunes précitées.
64. La Commission comprend qu'il importe de prévoir une "communication à des tiers" des données collectées afin d'éviter les collectes et enregistrements multiples des mêmes données, mais une utilisation et une communication effrénées et non structurées de telles multitudes de données lui semblent relativement problématiques.
65. Cela n'empêche pas que des communications déterminées à des tiers peuvent en soi être considérées comme légitimes dans ce contexte, en particulier la communication de données à des hôpitaux concernés dans le but de leur communiquer un feed-back ou leur permettre de se mettre en conformité avec les "bonnes pratiques". Une communication dans un tel but, bien que formulé de manière très peu explicite dans la forme actuelle du projet d'arrêté royal, pourrait être considérée comme étant compatible avec les finalités définies dans la loi et l'arrêté royal (voir article 3, ,§2).
Il est dès lors fortement recommandé que les "communications compatibles" précitées soient mentionnées de manière plus explicite dans le projet d'arrêté royal de sorte que, en application de cela, on ne puisse pas communiquer n'importe quoi à n'importe qui (un tel risque se présente en effet en cas de formulation vague ou confuse).
66. Par contre, toute autre communication à des tiers doit être soumise aux conditions strictes de la loi, d'autant plus que les données ne sont pas des données anonymes.
En ce qui concerne ces communications à des tiers, il convient en particulier de développer au moins ce qui suit dans le projet d'arrêté royal :
- pour quelles raisons / quelles finalités
- quelles données distinctes
- à quels tiers
on pourrait éventuellement procéder à une communication, avec bien entendu une légitimation en vertu des lois et décrets existants.
Cela n'empêche bien entendu pas que, au moment de chaque communication individuelle de données à un tiers, il convient de procéder à une évaluation complémentaire de la finalité, de la proportionnalité et de la pertinence.
67. Concernant le codage (voir article 9 du projet d'arrêté royal ), la Commission attire l'attention sur l'arrêté royal du 13 février 2001 portant exécution de la LVP, et plus spécifiquement sur les articles qui prévoient le codage des données à caractère personnels par l'intervention d'une organisation intermédiaire.
Le codage des données à caractère personnels par une organisation intermédiaire (distincte et indépendante du (des) responsable(s) des traitements ultérieurs) réduit considérablement le risque de ré-identification des données traitées (une sorte de "barrière" étant ainsi créée entre la collecte des données à caractère personnel d'une part et l'utilisation / le traitement de ces données d'autre part).
Cette organisation intermédiaire, qui ne traiterait pas les données sur le plan du contenu, aurait pour mission de les rassembler, de les conserver, de les coder ou de les rendre anonymes et de mettre ces données codées ou anonymes à la disposition de ceux qui, légitimement, devraient les traiter pour les finalités présupposées, tout en respectant la réglementation et les autorisations éventuellement nécessaires d'un comité sectoriel institué au sein de la Commission de la protection de la vie privée.
Sans préjuger de l'appréciation finale, par la Commission, d'un tel système à la lumière des modalités concrètes de fonctionnement qui serait envisagées, la Commission rappelle déjà qu'une telle organisation intermédiaire ne pourrait porter préjudice aux compétences :
- de la Commission et/ou de son (de ses) comité(s) sectoriel(s), s'agissant de leurs compétences respectivesen matière d'avis et d'autorisation
- de tout autre organe spécifique auquel serait attribuée une compétence d'avis sur la pertinence des données (voir considérants 33-40).
La Commission se réserve d'apprécier la compatibilité avec les principes privacy des modalités concrètes de mise en place, le cas échéant, d'une telle organisation.
68. En ce qui concerne la communication à des tiers, le projet d'arrêté royal semble donc également poser problème et ignorer les dispositions de la LVP.
2.6 Déclaration des traitements à la Commission
69. L'article 17 de la LVP prévoit ce qui suit : "Préalablement à la mise en oeuvre d'un traitement entièrement ou partiellement automatisé ou d'un ensemble de tels traitements ayant une même finalité ou des finalités liées, le responsable du traitement ou, le cas échéant, son représentant, en fait la déclaration auprès de la Commission de la protection de la vie privée."
70. Cette déclaration doit préciser les informations énumérées à l'article 17, ,§ 3 de la LVP.
71. La déclaration peut être effectuée sur papier, au moyen d'un formulaire disponible auprès de la Commission, mais aussi par voie électronique, via le site Internet de la Commission (www.privacycommission.be).
III. CONCLUSION
72. Eu égard à ce qui précède, la Commission estime que le projet d'arrêté royal, dans sa forme actuelle, n'offre pas les garanties suffisantes concernant la protection de la vie privée des personnes concernées.
73. Afin de trouver malgré tout un équilibre entre les nécessités politiques et la protection des données à caractère personnel des patients, la Commission estime pouvoir recommander d'intégrer les adaptations / ajouts suivants au projet d'arrêté royal :
- la précision concernant le "numéro d'enregistrement du patient", dont il est question à l'article 12, 1°, b) du projet ;
- la reformulation de l'article 9 du projet afin de supprimer la contradiction terminologique
- la prévision d'un délai maximum à l'échéance duquel toutes les informations à caractère personnel doivent être détruites ;
- l'introduction d'un certain nombre de mesures de sécurité complémentaires, comme mentionné au point 2.4 ;
- envisager l'instauration d'une organisation intermédiaire au sens du Chapitre II de l'arrêté royal du 13 février 2001 portant exécution de la LVP, tout en respectant la réglementation et les autorisations éventuellement nécessaires d'un comité sectoriel institué au sein de la Commission de la protection de la vie privée ;
- les précisions relatives aux organes habilités à donner les avis ou les autorisations en respect des principes de proportionnalité des traitements et de pertinence de données;
- l'ajout complémentaire, dans le présent projet ou dans des textes ultérieurs des précisions nécessaires pour la communication des données à des tiers pour les finalités qui ne seraient pas totalement compatibles.
74. Après une éventuelle révision du projet d'arrêté royal au regard des suggestions précitées, la Commission sera bien entendu toujours disposée à évaluer une nouvelle fois le projet adapté.
PAR CES MOTIFS,
75. La Commission émet un avis négatif quant à la forme actuelle du projet d'arrêté royal déterminant les règles suivant lesquelles certaines données hospitalières doivent être communiquées au Ministre qui a la Santé publique dans ses attributions.
L'administrateur, Le président,
(sé) Jo BARET (sé) Michel PARISSE