Introduction
Le droit à l’oubli peut être défini comme une prérogative, dont disposerait chaque individu, d’exiger que ne soient plus accessibles au grand public certains évènements ou certaines données le concernant. Il s’agit d’une soustraction à la mémoire collective.
A l’heure actuelle et avec l’avènement du numérique, la libre circulation des informations facilite de plus en plus leur accès pour chaque individu possédant une connexion internet. Par ailleurs, les patients de nos jours n’hésitent pas à se renseigner avant de consulter, aussi bien au niveau des techniques utilisées, des matériaux, ou bien, sur les praticiens eux-mêmes. L’information recherchée et qui est dans le domaine publique peut servir ou desservir les intérêts de l’utilisateur, selon la compréhension et l’utilisation qui en est faite. Les données ne servent plus dans ce contexte de devoir de mémoire, elles peuvent bien au contraire entraîner de véritables campagnes de désinformation.
Le droit à l’oubli s’exerce majoritairement sur des données numériques, mais également sur des données traditionnelles. Elles sont à l’origine des problématiques des modalités de traitement des données, tout d’abord en France, puis au sein de l’Europe et finalement dans toute la planète.
Cependant, le droit à l’oubli ne saurait permettre une maîtrise totale des données personnelles. Le recueil et le stockage des données posent également de réels problèmes au niveau juridique, tant au niveau des bases de données scientifiques qu’au niveau des réseaux sociaux.
Certaines informations ne peuvent en effet pas être soustraites à la mémoire collective dans la mesure où chaque individu est tenu d’un certain nombre d’obligations envers la société, et qu’un droit à l’oubli librement exercé par l’individu se heurterait à d’autres droits et libertés. Le travail qui a été réalisé a porté, dans un premier temps, sur l’étude de la naissance du droit à l’oubli et les nécessités qui y ont contribué. Il s’en est suivi une analyse de la collecte des données dans le cadre de la médecine et de l’odontologie. Enfin, une recherche a été réalisée sur les démarches des patients et des praticiens dans le cadre du droit à l’oubli.
Les fondements du Droit à l’oubli
En France
Dès les années soixante-dix, la mise en place de textes fondateurs du droit pour contrôler les données qui circulent de manière inaltérable et intemporelle a été nécessaire, au sein d’une société dont le développement de l’informatique connaît un développement sans précédent.
Le gouvernement a promulgué dès le 6 janvier 1978 la Loi Informatique et Libertés1, qui inscrira l’informatique aux Droits de l’Homme. Cette loi concerne l’ensemble des traitements automatisés de données personnelles, donc s’adresse à tous les secteurs ayant recours à des données personnelles.
Plusieurs dispositions sont prévues dans ce texte législatif :
Elle a également vu la création de la Commission Nationale de l’Informatique et des Libertés (CNIL)3, une autorité administrative indépendante française chargée de veiller à ce que l’informatique soit au service du citoyen et qu’il ne porte atteinte ni à l’identité humaine, ni aux Droits de l’Homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Elle est chargée de veiller au respect des dispositions de la Loi Informatique et Libertés.
La Commission d’Accès aux Documents Administratifs (CADA)4, autorité administrative indépendante, est chargée de veiller à la liberté d’accès aux documents administratifs et aux archives publiques ainsi qu’à la réutilisation des informations publiques. Elle est pour les citoyens comme pour les administrations, le premier interlocuteur pour tout contentieux dans ces domaines.
Ce sont les deux commissions françaises responsables du traitement des données.
L’évolution constante des technologies a cependant nécessité des mises à jour de la législation concernant la protection des données à l’échelle de l’Union Européenne. Le 6 août 2004, la France est le dernier état membre à transposer la directive européenne 95/46/CE du 24 octobre 19955 afin non pas de supprimer, mais de modifier la Loi Informatique et Libertés. Cette modification a permis à la loi initiale d’être enrichie au niveau de son champ d’application, pour permettre une meilleure adaptation aux enjeux juridiques actuels de la société française informatisée, notamment par la mise en place d’un correspondant à la protection des données. Cette directive a pour principe la liberté de circulation des données à l’intérieur de l’Union Européenne.
Le rôle de la CNIL est renforcé par une capacité de sanction administrative et financière. Les procédures administratives sont également simplifiées, les secteurs public et privés devant réaliser une déclaration préalable de traitement auprès de la CNIL, lors que précédemment le secteur public devait émettre un avis préalable à la CNIL et le secteur privé devait juste se déclarer à la CNIL.
En Europe
Au niveau européen, le Règlement Général de la Protection des Données (RGPD) a été adopté par le Parlement Européen le 27 avril 2016, et est entré en application à compter du 25 mai 2018. Il a remplacé en France, par la loi du 20 juin 2018, la Directive 95/46/CE qui a été abrogée, et ses principaux objectifs, plus que jamais d’actualité, sont d’accroître la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement de données.
Le RGPD s’applique dans les secteurs privé et public, à toute organisation ou ses sous-traitants qui travaillent sur des données personnelles, dès lors qu’ils sont établis sur le territoire de l’Union Européenne ou que leur activité cible directement des résidents européens. Les nouvelles règles s’appliquent à toutes les entreprises intervenant sur le marché européen, même si elles n’ont pas leur siège dans l’Union européenne. En outre, le règlement prévoit la possibilité d’imposer des mesures correctrices, comme des avertissements ou des injonctions, voire des amendes, aux entreprises qui enfreindraient les règles6.
Le Dossier Médical Partagé
Pour aboutir au dossier médical, la collecte des données s’effectue par l’intermédiaire de documents divers et variées selon la spécialité. Dans plusieurs situations, le patient doit pouvoir accéder à ces données, pour pouvoir notamment les transmettre ou bien les supprimer. Le Dossier médical partagé (DMP) est un projet qui vise à ce que chaque Français dispose d'un dossier médical informatisé. Il a pour ambition de regrouper toutes les données médicales des patients en un dossier unique, facilement accessible par les patients comme par les professionnels de santé autorisés. Chaque personne bénéficiant d’un régime de sécurité sociale peut disposer d’un DMP.
Il est particulièrement utile pour les personnes ayant souvent recours aux soins comme les patients atteints d’une maladie chronique ou les femmes enceintes.
Il regroupe :
- l’historique de soins des 24 derniers mois alimenté par l’Assurance Maladie ;
- les antécédents médicaux (pathologies, allergies, …) ;
- les résultats d’examen (radio, analyses biologiques) ;
- les comptes rendus d’hospitalisations ;
- les coordonnées des proches à prévenir en cas d’urgence ;
- les directives anticipées pour la fin de vie7.
Données médicales et assurances
Au début des années 90, l’allongement de la durée de vie de nombreux patients avec certaines pathologies, notamment les porteurs du VIH, a posé un réel problème concernant les possibilités d’emprunts et d’assurances de ces patients. Il faudra cependant attendre les années 2010, pour que les associations de malades, le gouvernement et les assureurs trouvent un terrain d’entente. La Loi 2007-131 du 31 janvier 2007 voit la signature de la Convention s’Assurer et Emprunter avec un Risque Aggravé de Santé (AERAS). Cette Convention AERAS couvre la garantie invalidité en plus de la garantie décès, crée le plafonnement des surprimes et renforce les facilités d’accès aux emprunts. 8
Le 1er mars 2011, un avenant à la Convention AERAS est rédigé. Il met en place la Garantie Invalidité Spécifique (GIS) et un minimum de couverture du risque de Perte Totale et Irréversible d’Autonomie (PTIA) est proposé par les assurances.
Le 22 Juillet 2019, la Convention AERAS intègre de nouvelles avancées, avec l’abaissement du nombre d’années à partir duquel le droit à l’oubli bénéficie à une personne qui a été atteinte par une pathologie cancéreuse à l’âge adulte, et l’augmentation de l’âge avant lequel le cancer doit être diagnostiqué. Elle intègre également le non plafonnement du montant des prêts concernés par le droit à l’oubli.
Les données médicales au sein du cabinet dentaire
Le chirurgien-dentiste est le responsable de l’ensemble des données, des patients mais également des salariés au sein de sa structure. Des normes sont nécessaires afin que l’ensemble des données collectées soient parfaitement sécurisées.
Le RGPD s’applique au cabinet dentaire, les données de santé étant considérées comme des données sensibles au sens du droit national. Pour cela, le praticien doit faire respecter les principes de protection des données personnelles : finalité, pertinence et proportionnalité, conservation limitée, sécurité, confidentialité et respect des droits des personnes.
En pratique, il devra suivre une règle en 7 points :
1. Rédiger une procédure interne décrivant comment les informations personnelles sont collectées et traitées au sein de sa structure.
2. Dans les grands cabinets ou les structures publiques, il est nécessaire de désigner un chirurgien-dentiste délégué à la protection des données afin de veiller au respect du RGPD, en formant les autres praticiens et les salariés.
3. Respecter les droits des patients tels qu’ils figurent dans le Code de santé publique : droit à l’information, droit d’accès, rectification ou de suppression, droit d’opposition pour motif légitime. Le RGPD ajoute le droit à la portabilité des données et le droit à l’oubli.
4. Évaluer le risque de sécurité des données et le risque juridique pour les personnes en charge de leur traitement. En pratique, envisager les conséquences d’une perte des données.
5. Revoir si nécessaire le contrat avec le prestataire de services informatiques. Des clauses garantissant que le prestataire respecte le RGPD doivent être explicites.
6. Ajuster régulièrement la procédure interne pour garantir la sécurité et la confidentialité des données. Il s’agit principalement de fixer une durée de conservation pour chaque catégorie de données, d’organiser les modalités d’archivage et d’assurer la capacité de restitution des données.
7. Tous les incidents de sécurité impliquant des données personnelles doivent être signalés à la CNIL. (Obligation qui s’ajoute à celle de signalement des incidents de sécurité des systèmes d’information de santé prévue à l’article L.1111-8-2 du Code de la Santé Publique)9.
Les dossiers des patients doivent, en principe, être conservés pour une durée indéterminée. On admet cependant, conformément à l’usage instauré par l’Ordre des Chirurgiens-Dentistes (et l’Ordre des médecins) par référence à l’Article R.1112-7 du Code de la Santé Publique, que les dossiers médicaux des patients doivent être conservés pendant 20 ans à compter de leur dernière consultation, et jusqu’au 28ème anniversaire pour un mineur.
Les données des salariés peuvent être conservées jusqu’à ce qu’ils quittent la structure. Par la suite, il est recommandé d’archiver les données des salariés sans les détruire, en gardant en perspective les délais de prescription des actions.
Les données des fournisseurs sont conservées tant que la relation commerciale perdure
La loi du 4 mars 2002 donne au patient le droit de demander son dossier médical au médecin ou à l’établissement de santé (Article L. 1111-7 du Code de la Santé Publique)10, et selon le Code de déontologie, cet accès ne peut être refusé. Le patient peut obtenir son dossier médical sous 8 jours pour les informations datant de moins de cinq ans et sous deux mois pour les informations plus anciennes. Les modalités de transmission des données sont variées, et des voies de recours en cas de difficulté de transmission sont possibles aussi bien contre les établissements relevant ou non du service public et les médecins libéraux.
Le déréférencement
Le déréférencement est un procédé qui permet de faire supprimer un ou plusieurs résultats fournis par un moteur de recherche à l’issue d’une requête effectuée à partir de l’identité d’une personne11. Sur internet, les démarches qui concernent le déréférencement s’appliquent aussi bien pour un patient que pour un praticien. L’objectif est de demander au moteur de recherche de ne plus associer un contenu qui lui porte préjudice au moment où il effectue sa demande, par une recherche effectuée à partir de son identité (nom et prénom).
Cette suppression ne conduit pas à effacer l’information sur le site internet source : le contenu original reste inchangé et est toujours accessible, en utilisant d’autres critères de recherche ou en allant directement sur le site à l’origine de la diffusion. Le résultat de recherche qui a fait l'objet d'un déréférencement reste accessible à partir de recherches effectuées sans le nom et prénom.
Si le moteur de recherche démontre que cette information doit être portée à la connaissance du public, il peut refuser d'y donner suite. Selon les données concernées, les démarches se feront via la CNIL ou la CADA.
Les évolutions constantes des technologies, avec l’accroissement de la collecte des données, l’étendue de leurs contenus et l’intemporalité de leur conservation, ont amené les autorités des différents pays du monde à légiférer, afin de permettre une utilisation juste et à bon escient des informations récoltées. La nécessité d’une justice pour le traitement des données des personnes, afin de concilier le droit à l’oubli avec le droit à la mémoire, est indéniable. Dans le domaine de la médecine, des données centralisées peuvent permettre dans de nombreuses situations, où les patients ne peuvent s’exprimer, de sauver des vies en posant des diagnostics de manière précise à la lumière des potentielles pathologies existantes.
En odontologie, de nombreux acteurs entrent en compte dans la récolte et le traitement des données personnelles et médicales, le consentement et la confidentialité étant les maîtres mots.
Depuis la mise en place du RGPD en mai 2018, des milliers de plaintes ont été formulées concernant la violation de la législation concernant la protection des données, assorties d’amendes pouvant aller jusqu’à plusieurs millions d’euros.
Une uniformisation des sanctions par les CNIL européennes doit cependant être opérée, pour pouvoir à terme les rendre plus prohibitives, de manière à ce que l’ensemble des sites internet respectent les obligations du RGPD12.
Il reste cependant des écueils dans les lois, notamment sur les possibilités des personnes d’avoir un réel droit sur leurs données personnelles ainsi que leur traitement, tant sur le plan de leur conservation que de leur suppression. Les recours sont encore complexes, avec des délais importants, pouvant fortement impacter la vie des personnes, qui se retrouvent parfois en position de victimes de l’inaltérabilité des mémoires informatisées.
Sources
1. Assemblée nationale et Sénat. Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Disponible sur : https://www.ssi.ens.fr/textes/l78-17-text.html
2. Données et RGPD. Loi Informatique et Libertés. Disponible sur https://donnees-rgpd.fr/loi-informatique-libertes/
3.Commission Nationale de l’Informatique et des Libertés (CNIL). Disponible sur : https://www.cnil.fr
4. Commission d’Accès aux Documents Administratifs (CADA). Disponible sur https://www.cada.fr
5. Directive 95/46/CE du Parlement Européen et du Conseil. Texte législatif. 1995. Disponible sur : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000697074&categorieLien=id
6. RGPD : De quoi parle-t-on ? Disponible sur : https://www.cnil.fr/fr/rgpd-de-quoi-parle-t-on
7. Le Dossier Médical Partagé, Disponible sur : https://www.dmp.fr/
8. Avancées de la convention AERAS 2019. Disponible sur https://www.aeras-infos.fr/sites/aeras/accueil/la- convention-aeras/les-textes-de-reference.html
9. Information dentaire. Le RGPD en trois étapes. 2018. Disponible sur : https://www.information- dentaire.fr/actualités/le-rd-en-trois-étapes/
10. Code de la Santé Publique. Article de loi 2018. Disponible sur https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000036514990&cidTexte=LEGITEXT000006072665 &date Texte=20180401
11. CNIL. Le déréférencement d’un contenu dans un moteur de recherche. Disponible sur : https://www.cnil.fr/fr/le- déréférencement-dun-contenu-dans-un-moteur-de-recherche
12. Usine Digitale. RGPD : La France est le pays qui inflige les amendes les plus lourdes, 2020. Disponible sur : https://www.usine-digitale.fr/article/au-titre-du-rgpd-la-france-est-le-pays-qui-inflige-les-amendes-les-plus- lourdes. N921194