CHAPITRE III :
LA
MAÎTRISE DES TECHNOLOGIES DE NEUROIMAGERIE ET LA PROTECTION DES
PERSONNES
Présentées comme non invasives, certaines des technologies de neuroimagerie font l'objet de réserves quant à leur innocuité et à la fiabilité des données qu'elles génèrent. Dans son avis n° 98 sur la biométrie, le Comité consultatif national d'éthique (CCNE) constatait : « Les trois questions les plus angoissantes sont donc celles du glissement du contrôle de l'identité à celui des conduites, celle de l'interconnexion des données et de leur obtention à l'insu des personnes concernées. » Il émettait de vives craintes sur ces risques. Lors de leur évaluation de la loi relative à la bioéthique 70 ( * ) , comme au cours des débats sur la loi du 7 juillet 2011, vos rapporteurs se sont inquiétés des problèmes soulevés par la circulation de neuroimages.
I- LA PROTECTION DES DONNÉES DE NEUROIMAGERIE ET L'INTIMITÉ DES PERSONNES
La génétique et l'imagerie médicale ont envahi le droit et la vie quotidienne. On observe une véritable fascination dans la presse et dans le public pour ces belles images colorées que nous offrent les nouvelles technologies de l'imagerie cérébrale qui ont révolutionné les diagnostics et les suivis médicaux. On peut se demander, comme le soulignait Yves Agid, 71 ( * ) si l'IRM ou le scanner cérébral ne deviendraient pas aussi courants et systématiques dans quelques années que la radio des poumons au siècle dernier, mais à la différence de la radio qu'on emportait tout simplement chez soi, les résultats des nouveaux examens ne figurent pas seulement sur le CD et les clichés qu'on emmène avec soi. Ils restent conservés dans l'ordinateur qui a enregistré et traité les données. De plus, la complexité des images et les difficultés de leur interprétation font qu'elles sont régulièrement échangées par voie informatique entre professionnels, ce qui n'est pas sans risques.
Ce passage obligé par l'informatique a amené à repenser entièrement la question de la protection de la confidentialité des données personnelles informatisées figurant sur ces nouveaux supports, ainsi que leur mode de transmission et d'échange. Vos rapporteurs se demandent comment améliorer le cadre juridique actuel pour que le patient ne perde pas la maîtrise de son propre dossier médical et de la conservation de ses données, et comment sécuriser l'accès à ces données.
La loi du 7 juillet 2011 a, pour la première fois, prévu un encadrement des applications des neurosciences. Son article 45 indique : «Les techniques d'imagerie médicale cérébrale ne peuvent être employées qu'à des fins médicales ou de recherche scientifique, ou dans le cadre d'expertises judiciaires ». La loi exige en outre le consentement préalable exprès écrit et dûment informé du patient. Le nouvel article L. 1134-1 du code de la santé ajoute : « un arrêté du ministre chargé de la santé définit les règles de bonnes pratiques applicables à la prescription et à la réalisation des examens d'imagerie cérébrale à des fins médicales. Ces règles tiennent compte des recommandations de la Haute Autorité de santé » . Au jour de la présentation du présent rapport, cet arrêté n'a pas encore été pris.
A- LA SPÉCIFICITÉ DES DONNÉES D'IMAGERIE
Les données d'imagerie sont à l'évidence des données sensibles qui bénéficient d'un cadre juridique strict de protection. Cependant, les ambiguités liées au caractère prédictif de certaines données limitent l'impact de la réglementation.
1- Le cadre législatif strict des données sensibles
Les alinéas 1 et 2 de l'article L. 1110-4 du code de la santé, résultant de la loi modifiée du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé, garantissent au malade le secret médical et le respect de la confidentialité de ses données de santé : « Toute personne prise en charge par un professionnel, un établissement, un réseau de santé ou tout autre organisme participant à la prévention et aux soins a droit au respect de sa vie privée et du secret des informations la concernant.
Excepté dans les cas de dérogation, expressément prévus par la loi, ce secret couvre l'ensemble des informations concernant la personne venues à la connaissance du professionnel de santé, de tout membre du personnel de ces établissements ou organismes et de toute autre personne en relation, de par ses activités, avec ces établissements ou organismes. Il s'impose à tout professionnel de santé, ainsi qu'à tous les professionnels intervenant dans le système de santé. »
L'étendue du secret médical imposé par la loi aux professionnels de santé est précisée à l'article R. 4127-4 du code de santé publique : « Le secret professionnel institué dans l'intérêt des patients s'impose à tout médecin dans les conditions établies par la loi.
Le secret couvre tout ce qui est venu à la connaissance du médecin dans l'exercice de sa profession, c'est-à-dire non seulement ce qui lui a été confié, mais aussi ce qu'il a vu, entendu ou compris.»
La rupture du secret médical par le médecin est passible des sanctions pénales prévues à l'article 226-13 du code pénal (un an d'emprisonnement et 15 000 euros d'amende). C'est donc bien le médecin qui a suivi le malade, lui a fait éventuellement passer des examens d'imagerie médicale, qui est responsable de la confidentialité des informations contenues dans le dossier du patient, et de la traçabilité des échanges médicaux qui pourraient s'en suivre. La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée à de nombreuses reprises, considère les données de santé comme des données sensibles dont le traitement et la collecte sont par principe interdits, selon les prescriptions de son article 8 : « Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci. »
Plusieurs dérogations à ce principe sont prévues dans ce même article pour :
- les traitements pour lesquels la personne a donné un consentement exprès ;
- les traitements nécessaires à la sauvegarde de la vie humaine ;
- les traitements nécessaires aux fins de suivi médical des personnes, de prévention, de diagnostic, d'administration de soins ou de traitements ou de gestion des services de santé mis en oeuvre par les professionnels de santé astreints au secret médical. Ces types de traitements doivent en fait être déclarés à la Commission nationale de l'informatique et des libertés (CNIL), sauf si l'organisme médical ou le service hospitalier dispose d'un correspondant informatique et libertés (chapitres IX de la loi) ;
- les traitements statistiques réalisés par un service statistique ministériel,
- les traitements nécessaires à la recherche médicale qui font l'objet d'un encadrement très particulier résultant des lois de bioéthique et sont soumis à une stricte procédure d'autorisation de la CNIL ( voir ci -après) ;
- les traitements de données de santé à des fins d'évaluation ou d'analyse des pratiques ou des activités de soins de prévention, dans les conditions prévues au chapitre X de la loi ;
- les données qui sont appelées à faire l'objet, à bref délai, d'un procédé d'anonymisation ;
- les traitements justifiés par l'intérêt public et autorisés par la CNIL.
La CNIL se montre particulièrement vigilante sur la protection des données de santé. Elle intervient dans le cadre des avis qu'elle rend sur les règlements de sécurité, par les fréquents contrôles qu'elle diligente dans les établissements de soins et les hébergeurs de systèmes de santé, en étroite collaboration avec l'Agence des systèmes d'information partagés de santé (ASIP santé), qui pilote les systèmes de santé partagés et élabore des référentiels.
Pour assurer ses contrôles et vérifications, la CNIL se fonde sur une grille d'analyse basée sur six principes-clés figurant aux articles 6 et 7 de la loi informatique et libertés : l'examen de la finalité des projets de traitements de données, la pertinence des données collectées, la limitation de leur durée de conservation, le respect de la sécurité et de la confidentialité de ces données, le respect des droits d'information des malades et de leur droit de rectifier les informations les concernant, et de s'opposer à leur utilisation.
* 70 Rapport de l'OPECST (n°1325, AN ; n°107, Sénat) d'Alain Claeys et Jean-Sébastien Vialatte «La loi bioéthique de demain ».
* 71 Membre fondateur de l'Institut du cerveau et de la moelle épinière (ICM). Professeur de neurologie, membre de l'Académie des sciences, membre du membre du Comité consultatif national d'éthique (CCNE) - (Audition publique du 29 juin 2011).