Réglementation

La loi 94-548 du 1er juillet 1994 relative au traitement de données nominatives ayant pour fin la recherche dans le domaine de la santé autorise la transmission de ce type de données par les membres des professions de santé à des personnes astreintes au secret professionnel.

Cela concerne notamment les registres. Cette autorisation découle de la reconnaissance de la nécessité pour les registres, pour assurer la fiabilité et la qualité scientifique des statistiques produites, de disposer de données individuelles permettant d’éliminer les doubles enregistrements, de rassembler et de vérifier sur un patient déterminé les renseignements obtenus, de suivre, cas par cas, l’évolution d’une pathologie ou d’une thérapeutique et de réaliser, le cas échéant, des enquêtes complémentaires.

La Commission nationale de l’informatique et des libertés (CNIL) dans sa délibération n° 03-053 du 27 novembre 2003 portant adoption d’une recommandation relative aux traitements de données à caractère personnel mis en œuvre par les registres du cancer a précisé un certain nombre de points :

  • l’information des patients :
    • doit être faite avant le début du traitement des données les concernant
    • doit porter sur la nature des informations transmises, sur la finalité du traitement des données, sur les personnes physiques ou morales destinataires des données, et sur les modalités d’exercice du droit d’accès, de rectification et de leur droit d’opposition
    • doit être faite de façon individuelle et personnalisée selon des mesures définies par chaque registre
    • doit être faite par le médecin, responsable de la prise en charge thérapeutique, au moment qu’il estimera en conscience le plus opportun pour le patient.
  • la confidentialité des données :
    • doit être assurée par des mesures de sécurité physiques appropriées pour contrôler l’accès aux locaux du registre et prévoir que les supports d’information ayant permis la collecte des données soient conservés dans des conditions de nature à garantir leur confidentialité
    • doit s’appuyer sur une définition précise des conditions d’accès au système informatique et la possibilité de détecter d’éventuelles intrusions dans le système
    • repose sur un chiffrage des données nominatives par un algorithme réputé « fort » (cryptage).