Commission pour la Protection de la Vie Privée - Avis du 22 août 2002 (Belgique)

Publicatie datum :
22-08-2002
Taal :
Frans Nederlands
Grootte :
14 pagina's
Sectie :
Rechtspraak
Bron :
Justel 20020822-1
Rolnummer :
33/2002

Samenvatting

Sommaire 1

------------------------------
(vide)
------------------------------

---------------------------------------------------
(vide)
---------------------------------------------------

Projet de loi relatif à la création du centre fédéral d'expertise des soins de santé.

http://jure.juridat.just.fgov.be/view_decision.html?justel=F-20020822-1&idxc_id=18284&lang=FR
---------------------------------------------------


Advies

La Commission de la protection de la vie privée,
Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, en particulier l'article 29,
Vu la demande d'avis des Ministres de la santé publique et des Affaires sociales, datée du 2 juillet 2002 et reçue par la Commission le 3 juillet,
Vu le rapport de M. Yves Poullet,
Emet, le 22 août , l'avis suivant :
I. OBJET DE LA DEMANDE D'AVIS :
1. Dans le cadre de ses projets de modernisation de l'administration publique, le gouvernement souhaite se doter d'un instrument moderne d'analyse et d'expertise des informations du secteur des soins de santé permettant une plus grande cohérence entre, d'une part, l'organisation et la politique des soins de santé et, d'autre part, le financement de ceux-ci. Il s'agit entre autres de supprimer les écarts de pratique inexplicables et d'adapter les modes et techniques de financement sur la base de données plus exactes de la pratique médicale.
Comme le note l'exposé des motifs, " la tension croissante entre d'un côté une demande croissante de soins de santé ( nouveaux développements médicaux, évolutions démographiques ) et de l'autre des possibilités de financement public limitées impose des choix, tant au microniveau ( dispensateur individuel ou établissement) qu'au macroniveau ( prestations remboursées) ".
La création du " Centre fédéral d'expertise des soins de santé " répond à cette préoccupation. L'avant projet de loi en question en définit le statut comme parastatal de type B (article 2) et en décrit les missions (articles 7 et 8): " collecter et fournir des éléments objectifs issus du traitement de données enregistrées, d'analyses en matière d'économie de la santé et de toutes autres sources d'informations afin de soutenir de manière qualitative la réalisation des meilleurs soins de santé et de permettre une allocation et une utilisation aussi efficaces et transparentes que possible des moyens disponibles de l'assurance soins de santé par les organes compétents et ce compte tenu de l'accessibilité des soins pour le patient et des objectifs de la politique de santé et de l'assurance soins de santé ".
La réalisation de ces missions implique la collecte de nombre de données auprès des divers acteurs de la santé ou du financement des soins de santé ( articles 5 et 6) afin de réaliser les études et les rapports prévus par un programme annuel (article 9), ce qui impliquera le couplage de nombre de ces données, en particulier de données cliniques et financières (article 10). La transmission des résultats des traitements opérés par le Centre ou par des collaborateurs et/ou sous traitants, en particulier l'Agence intermutualiste ( article 25 et ss.) peut impliquer la transmission des données à certains tiers, administrations ou autorités (articles 10 § 3 et 4 et 11).
Parmi les autres dispositions de l'avant projet de loi objet du présent avis, on relève les dispositions des articles 20 et 21 qui prévoient, le premier, la désignation par la Commission de protection de la vie privée d'un membre ou d'un représentant formulant au centre des recommandations et le, second, la nomination au sein du personnel d'un conseiller en sécurité.
II. CADRE LEGAL, ANTECEDENTS ET JURISPRUDENCE DE LA COMMISSION
2. Le présent projet de loi constituait le chapitre III d'un vaste avant projet de loi " portant des mesures en matière de soins de santé " non soumis à l'avis de la Commission même si de l'avis de la Commission certaines dispositions eussent mérité son examen. Ce projet de loi déposé à la Chambre a été voté par la Chambre des représentants le 12 juillet et par le Sénat le 18 juillet. Le retrait du chapitre III qui n'a point été modifié dans son contenu, s'explique par la remarque du Conseil d'Etat : " Ce chapitre prévoit la création d'un organisme d'intérêt public, dont la tâche consistera notamment à faire les corrélations entre les données provenant de diverses sources médicales. Dès lors qu'il est évident que pareille règle risque de porter atteinte à la vie privée, il conviendrait, dans le souci d'une bonne procédure législative, que les auteurs du projet recueillent à ce propos l'avis de la Commission de protection de la vie privée.
Vu le caractère technique de la matière, la Commission est en effet mieux placée que le Conseil d'Etat, pour examiner la règle à la lumière des principes relatifs à la protection des données " .
La Commission prend acte de cet avis qui souligne l'importance de sa mission dans un secteur particulièrement sensible comme l'a souligné récemment la Cour européenne des droits de l'homme : " La protection des données à caractère personnel revêt une importance fondamentale pour l'exercice du droit au respect de la vie privée et familiale garanti par l'article 8 de la Convention. Il est capital non seulement pour protéger la vie privée des malades mais également pour préserver leur confiance dans le corps médical et les services de santé en général. ".
Le gouvernement a répondu positivement à la suggestion du Conseil d'Etat en saisissant la Commission par lettre du 2 juillet.
3. L'avant projet de loi soumis à l'avis de la Commission modifie certaines dispositions de la loi relative à l'assurance obligatoire soins de santé et indemnités coordonnée le 14 juillet 1994, modifié par la loi du 20 décembre 1995, en particulier il substitue à la " cellule technique ", créée par la loi du 29 avril 1996 portant des dispositions sociales, le Centre fédéral d'expertise. Ce faisant, elle précise les modalités de fonctionnement de cette institution, amplifie sa mission dans une mesure importante et en modifie le statut. La création de cette cellule technique et les conditions de son fonctionnement, en particulier la transmission des données par cette cellule à des tiers ont fait l'objet de précédents avis auxquels le présent avis se référera. Ainsi, en particulier, on cite les avis n°25/98 du 26 août 1998 relatif au projet d'arrêté royal portant exécution de l'article 156, alinéa 5 de la loi du 29 avril 1996 portant des dispositions sociales, en ce qui concerne les modalités selon laquelle les hôpitaux sont tenus de transmettre à la cellule technique les informations nécessaires à la fusion des données cliniques et financières anonymes et n° 12/2000 à propos du projet d'arrêté royal modifiant l'arrêté royal du 22 mars 1999 portant exécution de l'article 156, alinéa 5, de la loi du 29 avril 1996 portant des dispositions sociales en ce qui concerne les modalités selon lesquelles les hôpitaux généraux non psychiatriques et les organismes assureurs sont tenus de transmettre à la cellule technique les informations nécessaires à la fusion des données cliniques minimum et financières des années 1995 et 1997 et les avis n° 02/2000 du 10 janvier 2000, n° 23/2000 du 10 juillet 2000 et n° 02/2001 du 11 janvier 2001 concernant le projet d'arrêté royal portant exécution de l'article 156 § 3 de la loi du 29 avril 1996 " portant des dispositions sociales " .On rapprochera de ces précédents avis relatives à la cellule technique, l'avis n°12/2002 du 21 mars 2002 concernant le projet d'arrêté royal fixant les règles suivant lesquelles certaines données psychiatriques doivent être communiquées au Ministre qui a la Santé publique dans ses attributions dans la mesure où les finalités de la transmission rejoignent celles visées par l'avant projet de loi et que rien n'exclut bien au contraire que les données du R
.P.M. puissent également dorénavant être traitées par le Centre.
III. RAPPEL DES PRINCIPES DE BASE DE LA LOI VIE PRIVEE
4. Le projet crée au sein du secteur de la santé pris au sens le plus large, c'est à dire couvrant également l'ensemble des acteurs du financement et du paiement des prestations de la santé ,un vaste centre d'informations capable de rassembler des données venant des différents acteurs de ce secteur, de les traiter et de communiquer le résultat de ses traitements aux autorités, organismes et administrations en charge de ce secteur et le cas échéant de tiers. Vu la nature des données collectées, les risques créés par l'ampleur des données susceptibles d'être traitées et les conséquences des résultats des traitements et études sur l'accessibilité des citoyens aux soins de santé, vu l'ampleur du réseau que pourra tisser ce Centre, ce dernier est un lieu de traitements " présentant des risques particuliers au regard des droits et libertés des personnes concernées " . Ces traitements sont visés par l'article 20 de la directive européenne 95/46 . La Commission attire ainsi l'attention du gouvernement sur le fait que sur base de ce prescrit européen directement applicable dans notre droit national, la loi permettant la création d'un tel centre doit prévoir des mécanismes permanents d'examen préalable du respect des principes de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'egard des traitements de données à caractère personnel (ci-après LVP) afin de prévenir ces risques. La directive en son article 20 § 2 prévoit ainsi que " de tels examens préalables sont effectués par l'autorité de contrôle après réception de la notification du responsable du traitement ou par le détaché à la protection des données, qui , en cas de doute, doit consulter l'autorité de contrôle (entendre la Commission de protection de la vie privée) ". Nous reviendrons sur les conséquences que la Commission tire de cette obligation imposée par le droit européen ( infra n° 14 à propos du programme annuel et n° 21 à propos du rôle du détaché ou selon la terminologie de la loi nationale du préposé à la protection des données.
5. Il importe en particulier que lorsqu'un programme d'analyse des données impliquant une collecte de données, un couplage de celles-ci et/ou une transmission de données sont décidés par le Centre et ce en vue d'un objectif particulier, bref lors de tout nouveau traitement, le responsable du traitement vérifie sous le contrôle prévu au point 3 le respect des dispositions de la loi. En particulier, l'article 4 de la loi LVP exige que le traitement soit légitime, ce qui implique que le traitement soit strictement nécessaire aux finalités précises poursuivies ( par exemple, suivant l'article 7 § 2 e qui prévoit que l'interdiction de traiter des données relatives à la santé peut être levée " lorsque le traitement est rendu obligatoire par ou en vertu d'une loi, pour des motifs d'intérêts publics importants "). Ainsi, si la Commission, comme elle l'a rappelé dans son avis n°12/2002 du 21 mars 2002 relatif au projet d'arrêté royal fixant des règles suivant lesquelles certaines données statistiques minimales doivent être communiquées au Ministre qui a la santé publique dans ses attributions, estime que si certes " une telle finalité : contrôle et maîtrise des dépenses d'assurance maladie en matière de soins de santé, est une finalité légitime justifiant la transmission de ( certaines données cliniques ) ", ... il importe que " la mesure doive être proportionnée au but légitime poursuivi . En d'autres termes , il importe que le but légitime ne puisse être atteint par des moyens moins attentatoires à la vie privée. ". Par ailleurs, on veillera à ce que les données traitées soient adéquates, c'est à dire strictement proportionnées à la réalisation du " motif d'intérêt public important " poursuivi et ne soient traitées que pour la durée nécessaire à la réalisation de ce but.
Ce double examen de proportionnalité doit être opéré pour chaque traitement, c'est à dire lors de toute opération relative à des données de santé ( cliniques et/ou financières) répondant à une finalité précise (p. ex : le profilage des coûts de traitement des diabétiques ; l'évolution de la durée des séjours prolongés en institutions hospitalières ; les pratiques des kinésithérapeutes ; ...) réalisé au sein du Centre et non globalement pour un programme d'études.
IV. EXAMEN DES DISPOSITIONS ARTICLE PAR ARTICLE
Chapitre I.
Article 2
6. La création du Centre comme entité juridique autonome implique que les organes du Centre, en particulier le Conseil d'administration, soit considéré comme responsable des traitements qui sont opérés par ce Centre ou à sa demande par des tiers, sous-traitants. On ajoutera à propos des traitements des données relatives à la santé, que selon l'article 7 § 4 de la loi LVP, en outre le traitement de telles données doit être effectué " sous la responsabilité d'un professionnel des soins de santé ". Il sera donc utile que la procédure prévoyant une telle nomination soit explicitement prévue.
Article 4
7. L'avant projet de loi se réfère aux notions de données anonymes et de données codées telles que définies par l'arrêté royal du 13 février 2001 portant exécution de certaines dispositions de la loi 8 décembre 1992 relative à al protection de la vie privée à l'égard des traitements de données à caractère personnel (ci-après l'AR). La commission ne peut qu'approuver une telle référence. Elle note cependant que l'article 10 § 2, alinéas 2 et 3 se réfère à une notion différente : " données qui n'identifient pas une personne physique " sans préciser s'il s'agit là de données n'identifiant pas directement la personne physique, de données codées voire de données anonymes. La Commission souhaiterait donc qu'à l'article 10 soit précisé et visé uniquement les données codées au sens du présent avant projet et de l'AR . Par ailleurs, la Commission attire l'attention sur le fait que les distinctions entre données à caractère personnel , codées ou non codées et données anonymes n'est pas aussi tranchées que l'utilisation des termes ne le laisse entendre. Ainsi, une donnée codée peut, le temps de son couplage avec une autre donnée, être décodée ; des données a prori anonymes peuvent, dans le cadre de l'étude d'une question très précise ou par des recoupements extrêmement fins, permettre d'identifier le dispensateur de soins ou le patient visés par ces données.
La notion de dispensateur de soins, autre notion définie par l'article 4, mériterait d'être précisée. L'article 2, n), de la loi à l'assurance obligatoire relative aux soins de santé coordonnée et indemnités le 14 juillet 1994 auquel le projet fait référence la définit en effet de manière large et imprécise ce qui soulève en matière de protection des données difficulté dans la mesure où l'imprécision du terme rend difficile la prévisibilité pour les personnes concernées de savoir si elles sont ou non concernées par les traitements visés par le projet. Ainsi, outre les praticiens de l'art de guérir, on entend tous les auxiliaires paramédicaux ( les secrétaires médicales sont-elles concernées outre les logopédes, personnel de l'ONE, etc. ?) et les " autres services et institutions " sans que cette notion ne soit définie. La suite du texte traduit la volonté indéniable du gouvernement d'élargir le cercle des personnes visées actuellement par les couplages opérés par la cellule technique ( Cf. en particulier l'article 10 qui vise les soins ambulatoires ) mais on s'inquiète de l'imprécision des termes. Il est à noter qu' à propos des dispensateurs de soins, le projet prévoit en son article 10 § 3, la possibilité pour le Centre de communiquer à l'Inami, aux services publics fédéraux de la Santé et aux services sociaux des données qui peuvent identifier le dispensateur de soins, même s'il s'agit d'une personne physique, ce qui n'est pas possible à l'égard des patients.
Article 5
8. Les divers traitements ( et non le traitement, ce qui pourrait donner à penser que l'ensemble des opérations effectués par le Centre constituent un seul et même traitement, ce qui serait contraire au principe de finalité déterminée et explicite, principe central de l'article 4 de la loi LVP) sont considérés comme compatibles avec les objectifs pour lesquels ces données ont été obtenues à l'origine. La disposition a pour but, comme le note l'exposé des motifs, de ne pas faire tomber les traitements du Centre sous l'empire de l'AR, en particulier d'échapper aux articles 10 et 11 de l'arrêté royal qui prévoit l'obligation de passer par une organisation intermédiaire assurant le codage lorsque les données à caractère personnel proviennent de diverses sources. La Commission ne peut suivre ce raisonnement pour deux raisons. Premièrement, la compatibilité s'apprécie suivant la disposition de l'article 4 § 1 de la loi LVP pour chaque traitement et non pour un ensemble de traitements et ce compte tenu de tous les facteurs pertinents, notamment des prévisions raisonnables de l'intéressé et des dispositions légales et réglementaires applicables. Secondement, parce que la loi nationale ne peut déroger comme le note le Conseil d'Etat, à un prescrit européen qui est à la base des dispositions de l' AR auxquels le présent projet entend précisément déroger. Si la Commission ne peut s'opposer à la volonté législative de déroger à ces dispositions, elle se doit cependant de rappeler l'exigence européenne à laquelle la loi ne peut se dérober d'avoir pour chaque traitement ultérieur des garanties spécifiques et appropriées.
9. Or sur ce point, l'avant projet en examen est déficient. Il présente certes certaines garanties générales . L'exposé des motifs énoncent ces garanties : la mise à disposition en principe de seules données anonymes, la présence d'un représentant de la Commission, la présence d'un conseiller en sécurité et la soumission des membres du Centre au secret professionnel. Si l'objet de certaines de ces garanties feront l'objet de réflexions ci après, la Commission estime en outre que d'autres garanties doivent entourer, conformément aux exigences de la loi LVP, le processus de décision relative à chaque traitement opéré au sein du Centre ( cf. infra, n° 14 et 21 ). . Enfin, dans son avis n° 23/2000 du 10 juillet 2000, la Commission avait insisté sur l'importance que soient précisées pour les traitements, des garanties spécifiques, telles la durée de conservation des données et les procédures de destruction de celles-ci .
Mais au delà de ces garanties générales, la Commission souligne, comme le Conseil d'Etat l'avait déjà fait remarquer que la compatibilité doit surtout s'apprécier au regard de chaque traitement et tenir compte de garanties spécifiques appropriées à chaque traitement sous peine de donner un blanc seing à un organe dans l' utilisation des données collectées à l'origine pour d'autres finalités. A cet égard, les garanties générales offertes par la loi ne dispensent pas d'examen in casu lors de la décision relative à chaque traitement mis en uvre en application de la loi.
10. Par ailleurs, même s'il est conforme à la hiérarchie des normes constitutionnelles, que la loi en projet écarte certaines dispositions de l'arrêté royal du 13 février 2001, en particulier les deux dispositions citées par l'exposé des motifs, la Commission estime cependant que d'autres dispositions prévues par l'arrêté royal devraient s'appliquer également ici, en particulier les principes généraux de l'utilisation de données anonymes sauf lorsqu'il est impossible pour l'exécution de la mission de se satisfaire de données anonymes, principe de l'article 3 de l'arrêté royal ; dans de tels cas, l'utilisation du codage des données préalable à tout traitement ultérieur des données , principe de l'article 7 de l'arrêté royal et l'utilisation à titre tout à fait exceptionnel, dans des cas très limités précisés par cet arrêté royal, de données à caractère nominatif avec obligation, sauf rares hypothèses, d'information de la personne concernée.
Article 6
11. Les modalités de la collecte et du traitement des données codées relatives aux dispensateurs de soins seront fixées par le Roi après avis de la Commission. La Commission s'interroge sur la portée limitée d'un tel article qui ne vise que les données relatives aux dispensateurs de soins et non aux patients, pour lesquels les modes de collecte et de traitements devraient également être précisés . Par ailleurs, que signifie la notion de " modalités ". Vise-t-elle les procédures de transmission, les garanties lors de cette transmission, les acteurs et/ou leur fréquence ?
Chapitre II , III et IV
Article 7 , 8 et 9
12. Les articles 7, 8 et 9 traitent respectivement de l'objectif, des missions et des sujets des rapports et des études du Centre d'expertise. Ces trois articles peuvent se résumer comme suit :
- la finalité générique du Centre est non la collecte et la fourniture d'éléments objectifs comme le laisserait croire l'article 7 du projet mais elle est double. Premièrement, il s'agit de mettre sur pied un réseau entre organisations de la santé et de dresser l'inventaire des ressources informationnelles présentes dans ce réseau. Secondement, il s'agit, étant donné ces ressources informationnelles existantes, de réaliser des rapports et études pour un certain nombre d'acteurs institutionnels ou autres du secteur de la santé " pour soutenir la réalisation des meilleurs soins de santé et pour permettre une allocation et une utilisation aussi efficaces que possible des moyens disponibles de l'assurance soins de santé par les organes compétents " dans le cadre d'une politique d' " accessibilité des soins pour le patient et des objectifs de santé publique et de l'assurance soins de santé " ;
- conformément à l'article 9, les études et rapports à destination des organes institutionnels portent sur un certain nombre de thèmes qui devront être déterminés annuellement par un programme (article décidé par le Conseil d'administration visé à l'article 14 et qui fera l'objet d'un rapport à la Chambre des représentants. Des études à destination d'autres acteurs pourront être réalisées suivant des règles à fixer par arrêté royal ( Question : leur détermination est-elle intégrée dans le programme annuel ?) ;
- pour réaliser ces missions, le centre dispose de certains moyens énumérés par l'article 8 dont le principal est certes la collecte d'informations auprès des acteurs concernés et l'exploitation de celles-ci mais également sans être exhaustif d'autres moyens, la création d'un réseau d'experts et l'analyse de rapports produits à l'étranger. L'ensemble des activités du Centre d'expertise fera l'objet d'un rapport annuel communiqué à la Chambre des représentants ( article 8 § 2 ) ;
- enfin, au delà de ces trois articles, on insistera sur le fait que le couplage du R.C.M. et du R.F.M., objet unique de l'activité de la cellule technique, n'est dorénavant qu'une des activités du Centre (article 10), qui voit ses compétences singulièrement élargies et ouverte la possibilité d'utiliser voire de collecter d'autres données.
12bis Une première remarque se déduit de la double finalité générique du Centre : la réalisation d'un réseau de la Santé et un inventaire des données présentes sur ce réseau, d'une part et sur base de toutes ces ressources informationnelles, la réalisation de rapports et d'études, d'autre part. la Commission attire l'attention sur la nécessité de bien séparer ces deux finalités et d'en confier la responsabilité à des instances différentes, sous peine de voir le réseau et l'inventaire des ressources défini très largement par ceux-là même qui seront en charge de l'exploiter et souhaiteront pour des raisons évidentes liées à leurs besoins de recherche disposer du maximum d'informations. Il est donc utile que le cadastre des ressources et la définition des flux au sein du réseau de la Santé ne soit pas laissé à ceux qui exploiteront ce réseau. Il s'agit là d'une application du principe de la distinction même des finalités qui exigent que les responsables des deux types de traitement soient distingués. A la séparation fonctionnelle des deux tâches, doit correspondre une séparation institutionnelle sous peine de voir celui qui décide des études et rapports, en même temps décider de l'ampleur du réseau et de ses ressources.
13. Les objectifs proposés par l'article 7 à l'activité du Centre méritent peu de commentaires. Comme dit plus haut ( supra, n° 12), l'article 8 décrit très largement les moyens dont dispose le Centre pour réaliser ses missions et les rapports et études prévues par l'article 9. A cet égard, la Commission regrette que les missions soient décrites à l'article 8 " sans préjudice des compétences telles que visées à l'article 7 ", ce qui crée une incertitude sur le champ d'application de l'article 8, déjà largement décrit. En outre, la Commission note ainsi que certaines études prévues pourraient entraîner la collecte de biens d'autres données nominatives que celles dont actuellement pourrait disposer la cellule technique, ainsi le type d'études prévues à l'article 9, §2, b) : " évaluation de la pratique médicale et des activités hospitalières " peut impliquer la prise de données de soins directement auprès d'un échantillon de praticiens de l'art de guérir afin de mieux connaître leur pratique et d'aider à la définition des " best practices ". Il serait utile que le gouvernement précise exactement les types d'études que peut mener le Centre et les modes de collecte d'information auxquels il peut procéder et les données qu'il peut traiter (limite t'on les données susceptibles d'être traitées aux seules données visées par l'article 10 ?). On rappellera la nécessité de respecter lors de certaines méthodes d'investigation les règles imposées par le secret médical et la nécessité de la présence d' un comité d'éthique.
14. La définition large de l'objet des études et rapports prévus par l'article 9 appelle les commentaires suivants :
- le choix de l'objet des études et rapports réalisés pour les autorités publiques du secteur de la santé énumérés à l'article 9 alinéa 1 s'opère " dans le cadre d'un programme annuel " qui est communiqué à la Chambre des représentants. La Commission estime que ce document est important dans la mesure où c'est au regard des précisions que donne ce programme que doit s'apprécier le respect du principe de proportionnalité, fondamental pour assurer le respect de la loi LVP. Ainsi, le programme devrait préciser de manière précise les finalités de chaque rapport ou étude confiés au Centre et au regard de cette finalité, déterminer le type de moyens à mettre en œuvre par le Centre pour réaliser l'étude proposée (données à traiter, modes de collecte si les données ne sont pas déjà à disposition du Centre). Par ailleurs, la Commission note que la définition d'un programme annuel ne répondra pas à l'ensemble des besoins dans la mesure où certaines études devront faire l'objet d'une programmation pluriannuelle et que des ajustement ou des besoins nouveaux nécessiteront l'adoption de nouvelles études ou la modification ou l'ajustement d'autres.C'est donc un processus continu de définition des programmes et donc d'évaluation de ceux-ci qu'il faut mettre en place.
- cette description de l'objectif et des moyens permettra au responsable de la protection des données ( cf., infra n° ) d'apprécier le respect des prescrits essentiels de la loi LVP, le caractère légitime du traitement, sa compatibilité au regard des finalités de base, la pertinence des données envisagées pour la réalisation du traitement, etc.. Cette appréciation serait l'objet d'un avis de ce responsable ;
- les sujets ou le résultat attendu de certaines études peuvent affecter certaines règles d'éthique médicale, ainsi celle du libre choix par le patient de son médecin, la nécessité du consentement pour les expérimentations médicales, etc... et ce sans compter les questions éthiques soulevées par le résultat de ses études ou leur exploitation ( ex. création d'un hit parade des services hospitaliers ). La Commission estime donc que la présence d'un comité d'éthique au sein du centre et son intervention lors du choix des études par un rapport seraient utiles pour éclairer le Conseil d'administration dans ses choix.
- Une telle procédure qui aboutira à un programme justifié et aux rapports " vie privée " et " éthique ", décrits ci dessus permettra également le contrôle parlementaire réel voulu par le gouvernement. A cet égard, devrait être prévu la publication du programme et des rapports éthique et vie privée et une discussion de ces documents par les Commissions de la Santé publique et des affaires sociales.
15. On notera que l'article 9, alinéa 2 prévoit la possibilité pour le Roi de fixer les conditions selon lesquelles le centre peut réaliser des études et rapports pour des organismes autres que les organismes publics institutionnels visés par l'alinéa 1, y compris des entreprises privées. La Commission insiste sur le danger de cette ouverture dans la mesure où des données collectées pour des finalités d'intérêt public pourraient être réutilisées dans le cadre de cet élargissement. Il est en tout cas indispensable que cette extension d'activités fasse l'objet des contrôles prévus en ce qui concerne les activités au profit des autorités et institutions publiques.
Chapitre 5
Article 10
16. A propos de la portée et du contenu de cet article, la Commission soulève les questions suivantes : l'article 10 fait clairement référence à la première mission du Centre tel que libellée dans l'article 8 § 1 : " l'inventaire, la collecte, le couplage,... " . La Commission s'interroge sur la possibilité pour le Centre, dans le cadre des autres missions prévues par le même article 8 de pouvoir collecter d'autres données nominatives, codées ou non.
17. Le titre du chapitre 5 est trompeur dans la mesure où son intitulé : " du couplage des données cliniques et financières " semble indiquer que le Centre n'est que la continuation des activités de la cellule technique, centrée exclusivement sur le couplage des R.C.M. et R.F.M. alors même que l'article 10 élargit considérablement les données susceptibles d'être traitées et qu'il n'est pas certain que le gouvernement ait entendu limiter aux seules données visées à l'article 10, les données susceptibles d'être traitées par le Centre. Des clarifications dans la loi sont à cet égard nécessaires.
A cet égard, le § 1 n'évoque que les données relatives aux hôpitaux mais le § 4 évoque la possibilité par arrêté royal après avis de la Commission d'élargir les traitements à d'autres données. L'exposé des motifs parle clairement des données relatives aux pratiques ambulatoires, mais on peut également songer aux données relatives aux soins psychiatriques ( cf. le R.P.M ) voire à des données sur les généralistes ou sur les services de médecine préventive. Le § 2 évoque en son alinéa 3 d'autres données que celles du RFM et du RCM envisagés par l'alinéa 2, qui certes n'identifient pas une personne physique. A propos de ces extensions, premièrement, la Commission rappelle que la notion de " données qui n'identifient pas une personne physiques " est vague. S'agit-il d'interdire les seules données qui n'identifient pas directement la personne physique ou souhaite t'on n'utiliser que des données préalablement codées ? Dans ce contexte, on pourrait au minimum penser à l'utilisation du numéro unique du patient récemment recommandé par la Commission. Deuxièmement, la Commission s'inquiète des larges délégations opérées par le texte au Roi. Sur ce point, elle fait sien l'avis du Conseil d'Etat : " Le conseil d'Etat ne peut que signaler le caractère paradoxal de cette situation. C'est précisément là où les risques pour la protection des données sont les plus grands, que le législateur doit être associé de la manière la plus directe qui soit à la confection des normes. Il est dès lors recommandé aux auteurs du projet de régler de manière plus substantielle dans le projet, les modalités du traitement des données à caractère personnel. ".
Troisièmement, la Commission tient à rappeler (cf. supra, n°5 et 14 ) qu'en toute hypothèse c'est à l'aune de la finalité précise d'un traitement et non de manière générale que doit s'évaluer notamment la nécessité d'utiliser un ou plusieurs types de données particulières et la compatibilité du traitement envisagé avec les fianlités de la collecte initiale.
18. A propos du § 2, le projet de loi évoque " en particulier " la mission relative au couplage du RCM et du RFM, mission confiée jusqu'à présent à la cellule technique. Le fait que le projet en discussion abroge les articles 155 à 158 de la loi du 29 avril 1996 portant des dispositions sociales ( article 27 du projet), articles qui réglaient la compétence de la cellule et son fonctionnement soulève la question de l'abrogation des arrêtés royaux pris en exécution de ces articles en particulier de l'article 156, en ce qui concerne les modalités selon lesquelles les hôpitaux généraux et les organes assureurs transmettaient leurs données à la dite cellule. Ces arrêtés royaux prescrivaient des mesures techniques en particulier le double hachage qui préservaient la confidentialité des données transmises et avaient fait l'objet de l'analyse de la Commission au travers de plusieurs avis . Il est indispensable que les arrêtés royaux prévues par les alinéas 2 et 4 du § 2 de l'article 10 et par le § 4 de ce même article reprennent au minimum les mêmes mesures de sécurité que celles qui étaient prévues par ces arrêtés royaux.
19. La question de la transmission des données ou de la mise à disposition de données par le Centre concerne en principe que des données anonymes et dans cette mesure échappe aux prescrits de la loi LVP. Certaines exceptions sont cependant prévues vis à vis des seuls INAMI et services publics fédéraux de la santé publique et de la sécurité sociale. Ces traitements ( la communication constitue en effet un traitement) sont soumis à des conditions à fixer par arrêté royal, pris après avis de la Commission et s'avérer indispensables pour l'exécution des missions légales de ces services. La Commission rappelle que selon le prescrit de la loi LVP, la communication de données médicales ne peut s'opérer selon l'article 7 § 2 c) et h) que s'il est " nécessaire à la réalisation d'une finalité fixée par ou en vertu de la loi en vue de l'application de la sécurité sociale " ou " lorsque le traitement est rendu obligatoire par ou en vertu d'une loi pour des motifs d'intérêt public importants " et que cette nécessité de même que la balance d'intérêts entre cet intérêt public important et l'intérêt des personnes concernées à la confidentialité doivent s'apprécier au cas par cas.
20. Les articles 11 et 12 évoquent les possibilités de " collaboration " entre le Centre et d'une part, l'Inami, les cellules stratégiques des Ministres et les services publics fédéraux déjà cités y compris les organes associés à ces services et, d'autre part, selon les modalités fixées par le Roi, avec l'agence intermutualiste créée par les articles 25 et ss. du projet. Cette notion de " collaboration " n'est pas définie. La Commission évoque la crainte que le recours à cet article n'entraîne trop facilement le contournement des limitations mis à l'article 10 § 3 quant à la mise à disposition d'informations aux organismes mentionnés, ainsi qu'à l'agence qui au regard de l'article 10 est un tiers . Par rapport à ce dernier destinataire, on peut en outre craindre que dans le cadre de cette " collaboration ", les mutuelles ne puissent traiter des données pour des finalités qui en principe ne ressortent pas de leur rôle en tant qu'organismes tiers payeurs. Pour ces diverses raisons, la Commission recommande la suppression sinon des deux articles du moins de l'article 12 étant entendu que le Centre peut toujours confier certaines tâches à l'Agence dans le cadre de l'article 25, qui agit alors en tant que sous-traitant au sens de l'article 1 de la loi du 8 décembre 1992 et ce dans le cadre des garanties précisées par l'article 16 de la même loi.
Chapitre 8
Articles 20 et 21 21.
Quant au contrôle interne L'article 20 désigne " un membre ou un représentant qui formule au Centre d'expertise des recommandations... Ce représentant peut, le cas échéant, agir comme expert au sein du Conseil d'Administration. ". L'article 21 mentionne la désignation d'un conseiller en sécurité. Ces deux articles visent donc à permettre le contrôle du respect des prescrits en matière de protection de la vie privée en instituant deux types de contrôle assumés par des personnes différentes. Sur ces deux types de contrôle répondant à des fonctions et à des rôles différents, la Commission émet les remarques suivantes :
- elle estime que les deux fonctions doivent être de fait distinguées : le conseiller en sécurité doit effectivement veiller à la sécurité des applications et à la prise des mesures techniques et organisationnelles appropriées de manière à garantir le respect de la confidentialité des données et veiller aux contrôles d'accès et autres . L'article 16 de la loi LVP impose en effet la prise de telles mesures de sécurité qui sont essentielles dans le cadre du fonctionnement d'un Centre rassemblant des données sensibles sur un nombre important de citoyens. Par ailleurs, la nécessité de veiller lors de chaque traitement au respect d'autres principes de la loi LVP comme celui de la proportionnalité, celui de l'accès etc. rend nécessaire l' accomplissement d'une autre fonction : celle de " préposé à la protection des données", notion différente utilisée par la loi LVP ( article 17 bis), notion qui couvre d'autres compétences que celle de veiller à la seule sécurité des données mais comprend également le devoir " d'assurer de manière indépendante l'application de la présente loi ainsi que de ces mesures d'exécution ", ce qui signifie outre le contrôle du caractère adéquat des mesures de sécurité, celle du contrôle du respect des principes de légitimité, de proportionnalité et du droit d'accès des personnes concernées. La Commission si elle estime fondée la distinction des deux fonctions, ne s'oppose cependant pas au fait que ce soit une seule et même personne qui cumule les deux fonctions et joue le rôle de contrôleur interne, étant entendu que la loi garantira à cette personne, l' indépendance indispensable à l'achèvement de cette double tâche et surtout mettra en place la commission sectorielle d'autorisation que la Commission réclame et qui jouera le rôle de contrôleur externe ( sur cette demande, cf. infra, n°22).
- A propos de l'indépendance du contrôleur interne, si cette indépendance peut résulter de la nomination directe par la Commission d'un représentant ou d'un membre, comme le suggère le texte du projet en discussion, la Commission estime qu'elle pourrait résulter simplement du statut de ce contrôleur interne au sein du Centre d'expertise. A ce propos, la Commission rappelle que l'article 17 de la loi LVP qui évoque la notion de " préposé à la protection des données " prévoit qu'un arrêté royal définisse le statut de celui-ci afin de garantir son indépendance . Cet arrêté royal n'a pas été pris. La Commission prépare donc un avis d'initiative à ce sujet dans la mesure où elle estime que le rôle joué par des contrôleurs internes dans certaines entreprises ou administrations dont les activités présentent un haut risque pour la protection des données est essentiel. Ainsi, la Commission estime que le statut de ce préposé devrait permettre à celui-ci, à l'instar du statut d'un délégué syndical, de ne faire l'objet d'aucune pression dans l'accomplissement de ses fonctions, que la nomination de ce préposé devrait faire l'objet d'un agrément par la Commission et ce sur base de critères de compétence de l'intéressé et finalement qu'une formation permanente, coordonnée par la Commission, devrait être proposée.
- Ce préposé à la protection des données doit être en mesure d'adresser, outre des recommandations comme le projet le prévoit, un avis à propos du programme annuel que prévoit l'article 9 du projet de loi ( supra, n°14 ) et de même à propos du rapport d'activités annuel que prévoit l'article 8. Par ailleurs, en cas de doute sur la légitimité d'un traitement, le dit préposé devrait pouvoir suspendre la décision du Conseil d'administration et en tout cas la mise en œuvre de ce traitement pour en saisir le Comité sectoriel dont il est question au n° 22 infra.
- La Commission suggère que non seulement le Centre d'expertise soit doté de ce mécanisme de contrôle interne mais qu'en outre les institutions travaillant régulièrement avec le Centre (ainsi l'agence intermutualiste, les services publics fédéraux de la Santé et de la sécurité sociale, l'INAMI) soient tenues de se doter de ce même mécanisme.
22. A propos cette fois du contrôle externe, vu le haut degré de risques d'atteinte à la protection des données que représente le fonctionnement du centre, la Commission est d'avis, sur base des exigences européennes rappelées ci dessus ( supra n° 4), qu'il est nécessaire de prévoir l'existence d'un comité d'autorisation ou de surveillance sectoriel sur le mode préconisé par la Commission dans deux avis récents, l'un à propos de la Banque -carrefour des entreprises (avis n° 07 /2002 du 11 février 2002 ) et l'autre à propos du Registre National (avis n° 19 / 2002 du 10 juin 2002.) en son n° 25 : "En substance, la Commission estime, comme les autorités européennes, que des organes spécifiques d'autorisation constitués en dehors de la Commission sont de nature à nuire à la cohérence d'approche comme de niveau de protection en matière de protection des données ; ils sont, par ailleurs, de nature à réduire l'effectivité de l'accès des citoyens aux organes de contrôle comme à affecter la cohérence de la représentation externe des Etats membres en la matière.
Pour les mêmes motifs, la Commission souligne la nécessité que le Comité d'habilitation dont la création est en l'espèce envisagée, soit constitué au sein même de la Commission, au titre de comité sectoriel compétent en la présente matière. Le fait qu'il s'agisse, comme le projette le Gouvernement, d'un Comité mixte associant des membres de la Commission et des membres externes n'empêche en rien qu'il soit institué au sein même de la Commission. La Commission observe en outre que la recherche d'un correct équilibre entre, d'une part, l'efficacité et une expertise spécifique en la matière et d'autre part, la protection de la vie privée comme le prescrit la loi LVP, conduit à ce qu'il puisse être donné à cet organe une composition paritaire-  des membres externes et  de membres de la Commission-, l'un de ces derniers en assumant la présidence, avec le cas échéant, voix prépondérante..
Cette intervention d'un comité ad hoc est nécessaire, quitte à charger de cette mission l'un des comités existants ou à prévoir le regroupement de divers comités ad hoc créés au sein de la Commission et ce afin d'éviter de démultiplier ce type d'institution. Elle est vitale dans la mesure où le Centre d'expertise se conçoit comme un lieu d'intégration de données traditionnellement clairement séparées à savoir les données de santé et les données de sécurité sociale et que son fonctionnement pourrait dès lors soulever des problèmes importants d'atteinte à la protection des données.
CONCLUSIONS
23. La Commission insiste pour que le gouvernement modifie son projet en tenant compte des remarques çi avant prononcées. En particulier, elle souhaite qu'une procédure soit mise en place pour que chaque traitement mis en uvre par le Centre fasse l'objet d'un examen de légitimité et de légalité tant au regard des principes de la loi LVP qu'au regard des exigences de respect du secret médical. Au delà, elle souhaite que soient précisés les compétences du centre tant au regard des divers secteurs de la santé susceptibles d'être concernés ( secteur préventif, ambulatoire, médecine générale) qu'au regard des modes d'investigation et de collecte des données susceptibles d'être mis en œuvre par le Centre.
La Commission réclame en outre la création en son sein d'un comité d'autorisation ou de surveillance dont les rapports, décisions ou avis doivent être soumis au Parlement .
Enfin, elle estime nécessaire qu' à l'occasion de la création de ce Centre, des mécanismes permettant la transparence des flux d'information au sein des secteurs de la Santé et de la sécurité sociale entre les organes primaires de collecte des données et le Centre, soient mis en place.