La CNIL a audité 59 sites consacrés à l’e-santé. Résultat : trop de flou au sujet de la protection des données personnelles.
Le rapport publié par la CNIL (Commission nationale de l’informatique et des libertés) au sujet des sites internet traitant des problèmes de santé est édifiant. En passant au crible 59 sites de ce type, destinés au grand public et aux professionnels, sites institutionnels, commerciaux et associatifs, la CNIL a révélé, lundi 12 mars, qu’une bonne partie de ces sites faisaient peu de cas de la protection des données personnelles qui leur est imposée par la loi de 1978. Dans ce secteur ô combien sensible, c’est un mauvais score : dans 30 % des cas, les sites sont en contradiction avec plusieurs des critères imposés par la loi. Pas de responsable affiché du site, pas d’indication du caractère obligatoire ou facultatif des informations collectées, pas de spécification du droit de rectification des données communiquées par l’internaute. Dans un cas sur deux, "
les internautes ne savent pas si les données collectées sont à usage purement interne ou si elles peuvent être communiquées à des tiers", précise la CNIL. Dix sites sur 59 affirment adhérer à une charte ou à un label garantissant une protection des internautes. Mais les informations à ce sujet "
manquent nettement de clarté et ne permettent pas aux internautes d’être simplement informés des droits qu’ils tiennent de la loi" relève la CNIL.
Batterie de recommandations
Dans ce rapport, le député (PS) Alain Vidalies, l’un des commissaires de l’institution, émet donc une batterie de recommandations nécessaires, explique-t-il, servant à définir tant "les modalités d’utilisation et la confidentialité des données, que le respect des droits des internautes (...)". Les sites de santé sont donc invités à faire porter leurs efforts sur le cryptage des données stockées, la transparence de leur utilisation, l’engagement de ne pas communiquer des données de santé à caractère personnel. Ces recommandations ont été adoptées le 8 mars par la Cnil, sous quatre chapitres : indication de la raison sociale et du siège du site, création d’une rubrique "informatique et libertés/protection des données personnelles", collecte des données auprès de l’internaute, mesures de confidentialité et de sécurité, forums de discussion (interdiction de collecte de données sur les forums).
Défauts de protection
La France, avec sa poignée de sites de santé (environ 600), n’est pas la seule à se préoccuper du juteux de marché que peuvent représenter la revente des fichiers ou l’exploitation des profils médicaux des internautes, aux laboratoires pharmaceutiques par exemple. Aux ...tats-Unis, une enquête, intitulée "Report on the Privacy Policies and Practices of Health Web Sites" (téléchargeable à cette adresse) et portant sur 21 des plus gros sites du pays, faisait apparaître les mêmes défauts de protection. Dix d’entre eux seulement autorisaient, par exemple, un droit de rectification des données pour les internautes. Seize "profilaient" leurs visiteurs et 17 disaient officiellement avoir une politique de collecte des informations les concernant. Tout en annonçant, pour 19 d’entre eux seulement, mettre en œuvre une politique de protection des données personnelles ("privacy policy").