Un audit réalisé par la CNIL

Protection des données santé sur les sites Web : une situation très insatisfaisante

Publié le 12/03/2001

Article réservé aux abonnés

C INQUANTE-NEUF sites santé soumis à une grille de 137 questions destinée à évaluer l'application de la loi Informatique et Libertés, six missions de contrôle sur place. Les sites santé qui ont fleuri en nombre sur la Toile ces deux dernières années ne pouvaient manquer d'attirer l'attention de la CNIL.

Et cette étude sur la e-santé menée sous la responsabilité du député Alain Vidalies, son rapporteur, s'inscrit dans la perspective de la charte éthique en cours d'élaboration au sein du groupe de travail constitué avec le ministère de la Santé et le Conseil national de l'Ordre des médecins et auquel participe la commission (voir encadré).
Première constatation : la situation est contrastée. Soixante-dix pour cent des sites étudiés sont des sites d'information et plus de la moitié donnent des conseils au public. 86,4 % collectent des données personnelles.
Soixante et onze pour cent ont fait l'objet d'une déclaration à la CNIL mais seulement 42 % de ceux qui collectent des données comportent une information sur la vie privée et les données personnelles ou une référence à la loi Informatique et Libertés. Quand l'information est faite, elle est souvent partielle et ne figure pas à tous les endroits de collecte.

Un fossé éthique

Seulement 30 % des sites indiquent clairement le caractère facultatif ou obligatoire des informations collectées et 37 % stipulent le lieu d'exercice du droit d'accès. Dans 55 % des cas, les internautes ne sont pas informés de l'utilisation de leurs données et la spécificité des données santé n'est que très marginalement reconnue : 29 % des sites prévoient une information spécifique sur l'utilisation des données santé qu'ils sont amenés à communiquer.
Ainsi, note le rapporteur, il apparaît « un fossé éthique entre certains sites, particulièrement protecteurs, prudents et respectueux de la loi, et d'autres qui paraissent très largement ignorer la loi du 6 janvier 1978 et la spécificité des données médicales ».
Sur les seizes sites comportant des forums de discussion, deux seulement font état de l'existence d'un modérateur et/ou de la possibilité de demander la suppression de ses propres contributions.
Enfin, la présence de cookies, mouchards permettant de suivre la navigation de l'internaute, constatée dans 62,7 % des sites, n'est accompagnée d'une information sur leur utilisation éventuelle que dans 10 % des cas (chiffre partagé par les sites de commerce électronique audités par la CNIL, début 2000). Une quinzaine de sites font état d'un procédé de sécurisation et six sites laissent la possibilité à l'internaute de garder l'anonymat.
Les résultats font donc apparaître « une situation très insatisfaisante ».

Pas encore d'exploitation

Ce cri d'alarme quant à la protection des données santé des internautes surfant sur les sites santé est cependant tempéré par le fait que, lors des six contrôles, la commission n'a mis le doigt sur aucun fait délictueux. En effet, « l'impression d'ensemble qui ressort des visites effectuées est que(...) les sites se contentent aujourd'hui d'engranger les données sans savoir encore précisément comment et quand ils seront à même de les exploiter », indique le député Alain Vidalies, rapporteur. L'accroissement d'audience étant actuellement le souci numéro un, « l'exploitation à des fins commerciales des données directement ou indirectement nominatives recueillies sur les sites semble quasi inexistante ». Cependant, plusieurs sites n'ont pas caché à la commission leur souhait de pouvoir, à terme, procéder à de telles exploitations.
Les informations recueillies sont de deux natures : déclaratives, lorsqu'elles sont fournies par l'internaute à l'occasion, par exemple, de son inscription à un service du site, et perceptives, c'est-à-dire perçues lors de la connexion et grâce à l'utilisation des cookies.
Leur exploitation sert à personnaliser le contenu rédactionnel, voire les bannières publicitaires.
Mais elle pourrait également donner lieu à l'établissement d'un profil santé à partir des sujets de prédilection de l'internaute.
Dans le cas des sites s'adressant aux professionnels de santé, il ne s'agit pas de données santé mais de données personnelles permettant d'établir des profils susceptibles d'intéresser les régies publicitaires et l'industrie pharmaceutique.

Un effort de clarté

Pour la CNIL, il est donc essentiel d'agir de façon préventive, d'autant qu'aucun des six sites ne dispense aux internautes « une information totalement satisfaisante » sur la protection des données personnelles . D'où des recommandations pour un effort d'information et de transparence de la part des sites (voir encadré).
En conclusion, la commission souhaite que « le principe de l'interdiction de toute commercialisation de données de santé directement ou indirectement nominatives soit posé par la loi » et attire l'attention des pouvoirs publics sur la « nécessité de prévoir des garanties sérieuses » quant à l'hébergement de dossiers de santé par des sociétés de service.

* Les 59 sites étudiés sont d'origine variée : institutionnelle, industrie pharmaceutique, sociétés commerciales, organes de presse médicale, association de patients, sociétés savantes, associations de médecins et syndicats, professionnels de santé.

Les recommandations

Dans le souci d'amener les sites santé à mieux appliquer la loi, la CNIL a adopté une recommandation lors de sa délibération du 8 mars.
Il est recommandé de mettre en uvre les mesures suivantes :
- l'indication de la raison sociale et du siège social du site ainsi que du responsable de la protection des données, dès la page d'accueil ou à la rubrique « qui sommes-nous ? » ;
- la création d'une rubrique « Informatique et libertés/Protection des données personnelles » bien mise en valeur et précisant l'utilisation qui sera faite des données concernant l'internaute (données collectées auprès de l'internaute ou résultant de sa navigation), avec des possibilités de refuser leur transmission à des partenaires ainsi que l'utilisation des cookies (cases à cocher). La durée de conservation des informations et des données de connexion doit être indiquée ;
- la collecte directe de données auprès de l'internaute doit toujours préciser son caractère facultatif ou obligatoire ; l'internaute doit avoir une case à cocher en cas de cession à des tiers pour pouvoir s'y opposer ;
- des mesures de confidentialité et de sécurité devraient être mises en place pour assurer l'intégrité et la confidentialité des données ; ces mesures doivent être portées à la connaissance de la CNIL lors des formalités ;
- les données figurant dans les forums de discussion ne peuvent être collectées et l'anonymat devrait être possible lorsque l'espace de discussion est modéré. Les intervenants doivent être informés de leur droit de faire supprimer leurs contributions.

Ces recommandations sont disponibles sur le site de la CNIL : www.cnil.fr.

Une charte éthique pour la e-Santé

Les grandes lignes de la charte éthique pour la e-Santé préparée par le ministère de la Santé et le CNOM (Conseil national de l'Ordre des médecins) commencent à se dégager et il en sera question lors du colloque organisée par « le Quotidien » le mercredi 14 mars à Informedica++ au MEDEC de 14 heures à 16 h 30 avec la participation de la Mission informatisation du système de santé, de la DGS (direction générale de la Santé), du CNOM, et de la CNIL.
Parmi les décisions déjà prises par le groupe de travail, trois dossiers ont avancé. La constitution d'un espace d'information et de formation mis à disposition de l'internaute afin de lui faire connaître ses droits et l'inciter à contrôler par lui-même la qualité des sites santé qu'il visite. La constitution d'une association pour pérenniser cette initiative. Le lancement d'un appel d'offres auprès des professionnels de l'audit et de la qualité dans la perspective d'une démarche de certification et de référencement des sites.

Marie-Françoise de PANGE