Accueil Présentation Services Tarifs Contact 



  



I.	LA CNIL ET SES RECOMMANDATIONS 

Les données de santé ne sont pas des données comme les autres. 
Les données de santé qui revêtent un caractère directement ou indirectement nominatif doivent faire l'objet d'une protection particulière et ne devraient faire l'objet d'aucune exploitation à des fins commerciales, qu'elles soient spontanément livrées par les internautes ou communiquées par des professionnels de santé. 
La CNIL l'affirme avec force depuis une recommandation du 4 février 1997 sur les traitements de données de santé à caractère personnel. Ses investigations sur le net l'ont conduite à réitérer ses préconisations, même si, à l'heure actuelle, aucune entreprise de la net-santé ne procède à une telle commercialisation. 
Ce rappel lui paraît d'autant plus s'imposer que des projets voient le jour, en France, faisant appel à des sociétés de service qui assurent l'hébergement de dossiers de santé, qu'il s'agisse de la gestion de dossiers d'urgences médicales,
de la mise à disposition volontaire par les patients de leur dossier médical aux médecins de leur choix ou d'assurer une meilleure coordination médico-chirurgicale par la création d'un dossier de santé électronique accessible sur Internet aux différents professionnels de santé appelés à assurer le suivi des patients tant à l'hôpital qu'en médecine de ville. 

Indication de la raison sociale et du siège social du site 
L'indication de la raison sociale et du siège social du site devrait apparaître clairement dès la page d'accueil ou dans une rubrique accessible dès la page d'accueil (par exemple sous le titre "Qui sommes-nous"). 
En outre, l'identité de la personne désignée pour assurer le respect des règles de protection des données et en particulier de la confidentialité des données de santé devrait être précisée. 
Création d'une rubrique "Informatique et Libertés/Protection des données personnelles" 
Une rubrique d'information devrait être conçue de façon distincte sous un titre spécifique et être accessible dès la page d'accueil. Le texte de cette rubrique devrait être concis et rédigé clairement, afin d'être compréhensible par chacun. Le responsable du site devrait y indiquer : 
1. Qu'en France et en Europe les données personnelles de santé sont protégées par la loi (article 226-13 du code pénal, loi du 6 janvier 1978, directive européenne du 24 octobre 1995). 
Qu'au cours de la navigation sur le site, selon les pages visitées ou les services qui intéressent l'internaute, il pourra être amené à communiquer des informations le concernant susceptibles de révéler son état de santé. 
Que les données de santé revêtant un caractère directement ou indirectement nominatif, qu'elles aient été communiquées par l'internaute et/ou par un professionnel de santé, ne font l'objet d'aucune exploitation commerciale et ne sont transmises à quiconque à des fins commerciales ou de prospection commerciale. 
2. Si les données collectées auprès de l'internaute ou résultant de sa navigation sur le site sont réservées à un usage strictement interne ou non. 
3. Quel usage sera fait de l'adresse e-mail et/ou des coordonnées (nom et/ou adresse) de l'internaute dans le cas où ceux-ci sont collectés. 
4. Qu'en aucun cas la cession ou la mise à disposition à des tiers, à des fins commerciales, de l'adresse e-mail ou des coordonnées de l'internaute, (à l'exclusion de toutes données relatives à l'état de santé réel ou présumé de ce dernier) ne pourra être opérée sans qu'il ait été préalablement mis en mesure de s'y opposer, par le biais d'un case à cocher. 
5. Que l'internaute qui aura communiqué son adresse e-mail et/ou ses coordonnées pourra à tout moment se faire radier de tout fichier et de tout traitement auxquels ces informations ont donné lieu. 
6. Si les données de connexion seront ou non exploitées sous une forme directement nominative ou non. 
7. Quelles exploitations éventuelles des données de connexion sous une forme nominative sont réalisées. 
Dans une telle hypothèse, il devrait être précisé à l'internaute si ces données sont ou non susceptibles d'être mise à la disposition de tiers, notamment à des fins commerciales. 
Dans les deux cas, une telle exploitation des données de connexion associées à des données nominatives ne peut être réalisée qu'avec l'accord des personnes, recueilli par le biais d'une case à cocher. 
8. Lorsque des cookies sont utilisés, les buts poursuivis par leur mise en oeuvre ainsi que les conséquences de leur désactivation par l'internaute. 
9. La durée de conservation des informations directement nominatives (adresse e-mail, coordonnées, données de santé, autres...) ainsi que la durée de conservation des données de connexion. Ces durées doivent être limitées et proportionnées aux finalités du traitement de telles données. 
10. Les coordonnées ou l'adresse e-mail du service ou du correspondant en charge de répondre aux demandes de droit d'accès, de rectification et de suppression présentées par les internautes. Ce droit devrait pouvoir s'exercer à tout moment en ligne. 
Collecte directe de données auprès de l'internaute 
Toute collecte directe de données auprès de l'internaute (sous forme ou non de questionnaire) devrait être accompagnée d'une information précisant, sur le support de collecte, le caractère obligatoire ou facultatif du recueil de chaque information demandée (par exemple par le biais d'un astérisque). 
Dans l'hypothèse où il est envisagé de mettre à la disposition ou de céder à des tiers à des fins commerciales des données telles que l'adresse e- mail ou les coordonnées de l'internaute, à l'exclusion de toutes données relatives à l'état de santé réel ou présumé de ce dernier,
l'internaute doit être mis en mesure de pouvoir s'y opposer en ligne par le biais d'une case à cocher devant figurer sur le support de collecte. 
A défaut d'une telle mention sur le support de collecte, les données seront supposées être destinées à un usage exclusivement interne. 
Mesures de confidentialité et de sécurité 
Des mesures de sécurité reposant notamment sur le recours à des moyens de chiffrement ainsi que sur des dispositifs de journalisation des connexions devraient être mises en place pour assurer l'intégrité et la confidentialité des données. 
Le contrat passé avec un hébergeur tiers devrait comporter des clauses prévoyant les nécessaires mesures destinées à assurer la sécurité des données, ainsi que leur seuls accès et utilisation par des personnes habilitées à en connaître. 
Ces mesures doivent être portées à la connaissance de la CNIL lors de l'accomplissement des formalités préalables. 
Forum de discussion 
Une mention d'information devrait préciser que l'espace de discussion est destiné à permettre aux internautes d'apporter leur contribution aux thèmes de discussion proposés et que les données qui y figurent (adresse e-mail et/ou coordonnées notamment) ne peuvent être collectées ou utilisées à d'autres fins,
et tout particulièrement à des fins commerciales ou de prospection. 
Il est recommandé qu'un modérateur soit chargé de supprimer les contributions susceptibles d'engager la responsabilité du site ou de porter atteinte à la considération ou à l'intimité de la vie privée d'un tiers. 
La possibilité de participer au forum sans avoir à s'identifier devrait être offerte à l'internaute, notamment lorsque l'espace de discussion comporte un modérateur. 
Les intervenants devraient être informés de leur droit de demander à tout moment la suppression de leurs contributions en s'adressant au service en charge du droit d'accès. 
*
Le développement des sites de santé sur internet conduit la Commission à souhaiter que le principe de l'interdiction de toute commercialisation de données de santé directement ou indirectement nominatives soit posé par la loi, comme l'est déjà, dans le code de la santé publique,
l'interdiction d'utiliser à des fins de prospection commerciale des données relatives aux prescriptions des médecins lorsqu'elles revêtent à leur égard un caractère directement ou indirectement nominatif. 
Par ailleurs la possibilité désormais offerte par des sociétés de service d'assurer l'hébergement de dossiers de santé, accessibles par Internet, conduit la Commission,
à appeler l'attention des pouvoirs publics sur la nécessité de prévoir des garanties sérieuses de nature à prévenir tout risque de divulgation ou d'utilisation indue des données et d'envisager, le cas échéant, une procédure d'agrément de tels organismes.




Les services de AB-PRO-DENTAIRE : Serveur Imagerie / E-recrutement / Prêt de matériel
Accueil / Mise à jour : Mai 2008 / Tester mon navigateur / CNIL / Code de déontologie dentaire