B- LE DÉFI DE LA SÉCURITÉ DE LA TRANSMISSION DES DONNÉES
L'imagerie cérébrale est de nature à rendre de grands services, notamment en matière de diagnostic, dans le domaine de la télémédecine. Elle offre des outils qui permettront de pallier des problèmes de pénurie médicale, de profiter de l'expertise de professionnels situés à distance, de partager des informations, de mieux prendre en charge les patients. Si l'intérêt des patients est clair, il convient en revanche d'être très vigilant sur la confidentialité, la sécurité et l'intégrité des données dès que des informations sont partagées, surtout à distance avec des accès via Internet. Or, précisément quelles sont les garanties qui permettent d'assurer cette transparence et de vérifier que les résultats d'un examen d'imagerie ne risquent pas d'être diffusés à l'extérieur, y compris par exemple à un autre service hospitalier ou un autre médecin que celui du malade, sans que celui-ci en ait été informé ?
La garantie première est bien sûr le secret professionnel médical auquel sont astreints tous les professionnels de la médecine. Mais quid de la sécurité de la télétransmission des données médicales et de l'intervention de nombreux acteurs de santé non médecins qui ont en fait accès à ces données médicales, parfois même à distance, tels les ingénieurs et personnels chargés de la maintenance d'appareils médicaux sophistiqués, de l'archivage et de l'hébergement des données de santé ? Les intermédiaires en tous genres sont de plus en plus nombreux, et la protection de la circulation des informations devient de plus en plus complexe, avec Internet notamment.
C'est essentiellement la Commission nationale de l'informatique et des libertés (CNIL) qui est chargée du contrôle de la sécurité des transmissions ; cela représente non seulement une tâche immense, mais un véritable défi technologique avec les divers outils informatiques qui ne cessent de se développer et d'embrasser tous les secteurs de l'activité humaine. Ses services d'expertise informatique ont d'ailleurs dû être largement étoffés récemment par un recrutement d'ingénieurs spécialisés notamment en cryptologie.
1- La difficile limitation de l'accès aux données médicales
Le médecin exerçant à titre libéral ou le directeur de clinique ou d'hôpital doit assurer la sécurité des informations figurant dans les dossiers médicaux de ses patients. Il lui appartient de prendre toutes dispositions pour cela et pour que les données soient conservées en bon état, inaccessibles aux tiers non autorisés et disponibles pour les personnes concernées. L'article 34 de la loi informatique et libertés prévoit que : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »
La négligence ou l'absence de mesures de sécurité peuvent être sanctionnées de 300 000 euros d'amende et de 5 ans d'emprisonnement (article 226-17 du code pénal). Selon Yves Agid 73 ( * ) , la multiplication de l'accessibilité à l'IRM, accroît le problème de l'accès aux banques de données des cliniques privées, des hôpitaux, et pose la question cruciale de la suppression des sources et surtout de la nécessité d'anonymiser des données ce qui, de son point de vue, n'a pas toujours été acquis. Pour son collègue Didier Dormont 74 ( * ) , il est désormais impossible à un individu mal intentionné d'accéder de l'extérieur à la banque de données des hôpitaux publics, du fait de la grande amélioration de la sécurité dans les hôpitaux et de la mise en place de nombreuses procédures de certification pour assurer le respect de la confidentialité ; les banques de données informatisées y sont anonymisées.
Mais il est vrai que certains centres privés, au lieu de remettre un CD sur lequel se trouvent les données, offrent la possibilité au médecin prescripteur d'accéder aux données de l'IRM de leur patient. De plus, nous avons constaté que parfois les personnels de certains établissements donnaient des informations précises, sans être en mesure de vérifier l'identité des personnes qui les leur demandaient, et donc violaient sans même s'en rendre compte le secret médical.
* 73 Membre fondateur de l'Institut du cerveau et de la moelle épinière (ICM). Professeur de neurologie, membre de l'Académie des sciences, membre du membre du Comité consultatif national d'éthique (CCNE) - (Audition publique du 29 juin 2011).
* 74 Professeur des universités et praticien hospitalier, spécialiste en neuroimagerie, chercheur au centre de recherches de l'Institut du cerveau et de la moëlle épinière (ICM) de l'hôpital de la Salpêtrière.