Facultadesfacultadesuniversidad
raya
Canon de Leonardo
Departamento de Humanidades Biomédicas
raya
 Centro de Documentación de BioéticaAnterior Siguiente Imprimir Enviar por correo 
raya
Documentos internacionales - Comité de Ministros del Consejo de EuropaDocumentos relacionados  Versión PDF 

Explanatory Memorandum to Recommendation on the Protection of Medical Data


Creación: Comité de Ministros del Consejo de Europa
Fuente: Consejo de Europa
Lengua original: Inglés y francés.
Copyright del original: No
Traducción castellana: No
Comprobado el 20 de abril de 2003
Fecha: 13 de febrero de 1997

 


Explanatory Memorandum to Recommendation (97) 5 on the Protection of Medical Data

(Adopted by the Committee of Ministers on 13 February 1997 at the 584th meeting of the ministers’ deputies)

Introduction

1. The impact of data processing technology on various aspects of day to day life, especially personal privacy, has long engaged the attention of the Council of Europe, an intergovernmental organisation which has to its credit the drafting of what is the world’s first binding legal instrument in the field of data protection - the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data of 28 January 1981 (ETS No. 108)1. With reference to specific data processing contexts, a committee of experts mandated by the Council of Europe has laid down detailed principles and guidelines for the protection of privacy based on the provisions of the convention but adapted to suit each context.

2. These principles and guidelines have been embodied in recommendations adopted by the Committee of Ministers and call upon the governments of member states to take account of the solutions offered in their approach to the data protection issues covered.

3. Nine such initiatives have so far been taken in the framework of what is referred to as the “sectoral approach” to data protection:

- Recommendation (81) 1 on regulations for automated medical databanks (23 January 1981);

- Recommendation (83) 10 on the protection of personal data used for scientific research and statistics (23 September 1983);

- Recommendation (85) 20 on the protection of personal data used for the purposes of direct marketing (25 October 1985);

- Recommendation (86) 1 on the protection of personal data used for social security purposes (23 January 1986);

- Recommendation (87) 15 regulating the use of personal data in the police sector (17 September 1987);

- Recommendation (89) 2 on the protection of personal data used for employment purposes (18 January 1989);

- Recommendation (90) 19 on the protection of personal data used for payment or other related operations (13 September 1990);

- Recommendation (91) 10 on the communication to third parties of personal data held by public bodies (9 September 1991);

- Recommendation (95) 4 on the protection of personal data in the area of telecommunication services, with particular reference to telephone services (7 February 1995).

General comments on the recommendation

4. The use of computers in medicine serves the interests of the individual and of the community.

In the first place, computers contribute towards better medical care by automating techniques, reducing the burden on the doctor’s memory and facilitating the compilation of medical records. Medical computer systems meet the new demands of specialisation and teamwork by providing quick and selective access to information on the patient and his/her treatment and thus ensuring continuity in medical care.

5. Medical data processing also brings a major improvement to hospital management and in this way it can help to reduce the cost of health care. Computers have many uses in recording the admission, transfer and release of patients, keeping track of diagnostic and therapeutic activities, medication, laboratory analyses, accounting, invoicing, etc. Lastly, medical data processing represents an indispensable instrument for medical research and for a policy of early and systematic diagnosis and prevention of certain diseases.

6. Accordingly, personal health data appear in many files which can be recorded on a computer. The holders of these files vary: the attending physician, the hospital doctor, the school doctor, the doctor at the workplace, the doctor of an insurance company, the hospital administrator, social security offices, and so forth. Usually the recording of medical data occurs in the context of the doctor-patient relationship. It takes the form of a medical record to be used in making the diagnosis and in supervising and treating the patient. In the context of this confidential relationship freely chosen by the patient, the information is obtained with the patient’s consent by the doctor or a member of the medical team who is required to observe confidentiality under the rules of professional ethics. Health records may also be established outside the context of the doctor-patient relationship and may include data concerning perfectly healthy persons. The recording of information is sometimes imposed by a third party, perhaps even without the explicit consent of the data subject.

7. The quality and integrity of information is extremely important in matters of health. At a time of increasing personal mobility, the exchange of accurate and relevant information is necessary for the individual’s safety. Furthermore, the development of medical science depends on a transborder flow of medical data and the setting up of specialised information systems over considerable geographical distances (such as the Eurotransplant organisation for the transplantation of human organs).

8. The needs which medical data processing systems have to satisfy are often contradictory. Information must be readily available to duly authorised users whilst remaining inaccessible to others. The obligation to respect the patient’s privacy places certain restrictions on the recording and dissemination of medical data, whereas the right of each individual to health implies that everyone should benefit from the progress made by medical science thanks to intensive use of medical data.

9. Certain of the contents of medical files may harm the patient if used outside the doctor-patient relationship. Medical data belong to the most intimate personal sphere. Unauthorised disclosure of personal medical data may therefore lead to various forms of discrimination and even to the violation of fundamental rights.

10. In view of these problems, it has become highly desirable that the operation of every automated medical file should be subject to a specific set of regulations. The general purpose of these regulations should be to guarantee that medical data are used not only so as to ensure optimum medical care and services but also in such a way that the data subject’s privacy and dignity are fully respected.

11. Although adoption of such regulations is a matter which comes within the remit of the person or body in charge of each data file (hospital management, faculty of medicine, etc.), it is desirable that they should follow a common pattern and conform to general principles of data protection.

12. It appears advisable that the framework for these regulations should be European in scale. There are two reasons for this. First, such a European framework will be best suited to the international mobility of people and to international exchanges in the field of medicine. Secondly, national data protection legislation - including protection of medical data - is being harmonised at the European level, on the basis of two resolutions of the Committee of Ministers of the Council of Europe; one of which, adopted in 1973, has laid down data protection principles for the private sector, the other, adopted a year later, has established similar principles for the public sector2. Moreover, in September 1980 the Committee of Ministers adopted a convention on data protection3, which was opened for signature on 28 January 1981 and which became effective on 1 October 1985. Article 6 of this convention stipulates special safeguards for sensitive personal data, which specifically include information relating to health.

13. In 1990 the Council of Europe’s Project Group on Data Protection concluded that Recommendation (81) 1 on regulations for automated medical databanks, whose preparation had commenced in 1976, was no longer in keeping with the rapid development either of medical science or of technology.

Furthermore, since the recommendation was adopted the convention had been signed and implemented and various other sectoral recommendations had been drawn up. It was therefore agreed to carry out a revision of Recommendation (81) 1.

14. It fell to a working party which had been set up by the Project Group on Data Protection to examine current problems raised by data protection in the medical sector. The working party, chaired by Mr Capcarrere (France), met on seven occasions between February 1990 and July 1992 to “examine the data protection problems created by medical data, including genetic data and data relating to contagious or incurable diseases”.

15. Using the same approach as for the drafting of the previous sectoral recommendations, the experts adapted the rules embodied in the convention so as to give them specific application to the protection of medical data.

16. In accordance with the principle laid down in Article 6 of the convention to the effect that “health data” are classified among the special categories of data covered by that provision, the experts have found it necessary that the collection and processing of such data should be attended by appropriate guarantees and safeguards in respect of the data subjects.

17. The definition of appropriate guarantees thus formed the bulk of the working party’s activities, which concerned information to the data subject prior to data acquisition, securing the data subject’s informed and express consent, and the special case of medical research.

18. The draft produced by the working party was examined by the Project Group on Data Protection in September 1992; it was subsequently revised by the bureau of the project group in November 1992, and in January, March, and September 1993. The project group, chaired by Mr Chalazonitis (Greece), examined it again in May and October 1993.

19. In March 1994 the Steering Committee on Bioethics (CDBI) and the European Health Committee (CDSP) gave their opinions on the draft recommendation.

20. These opinions were examined by the Bureau at its meeting from 22 to 25 March 1994 and proposals to modify the text were made.

21. These proposals were examined by the project group, under the chairmanship of Mr Walter (Switzerland), in June and October 1994.

22. The revised text of the draft recommendation was approved by the project group on 14 October 1994, together with this explanatory memorandum.

23. On 5 December 1994 the draft recommendation and explanatory memorandum were approved by the European Committee on Legal Co-operation, and presented to the Committee of Ministers.

24. The Committee of Ministers passed on the draft to the European Health Committee for a second opinion, which was given on 6 July 1995.

25. In the light of the observations made by the European Health Committee on the one hand, and by the European Commission on behalf of the European Community on the other, the project group revised the draft during its thirtieth and thirty-first meetings (November 1995 and June 1996).

26. The draft recommendation, thus revised, was approved by the Project Group on Data Protection on 7 June 1996, as was the revised explanatory memorandum.

27. On 28 November 1996, both texts were approved by the European Committee on Legal Co-operation.

28. On 13 February 1997, Recommendation (97) 5 on the protection of medical data was adopted by the Committee of Ministers.

Detailed comments on the recommendation

Preamble

29. The preamble contains the considerations which have led the Committee of Ministers to address the recommendation to the governments of the member states.

30. One of these considerations is that compared to other categories of personal data, medical data are also being processed automatically by information systems integrated into medical equipment, as well as outside the health-care sector itself (for example, social security, insurances).

31. Because of this wider use of medical data, and with a view to the fact that under Article 6 of the convention medical data may be processed only if domestic law provides appropriate safeguards, reference is made in this respect to the rights and fundamental freedoms of the individual, and in particular the right to privacy.

32. Moreover, the Committee of Ministers was aware that Recommendation (81) 1 on regulations for automated medical databanks, since its adoption more than fifteen years earlier, had been overtaken by the rapid evolution in respect of medical science as well as of computer technology, and had become obsolete.

Operative part of the recommendation

33. The Committee of Ministers recommends first of all that the governments of the member states take steps to ensure that the principles contained in the appendix are reflected in their law and practice. The wording of this recommendation is flexible, because it is addressed also to those member states which are not yet party to the convention and which have therefore not yet pledged to take the necessary measures in their domestic law to give effect to the basic principles for data protection.

34. Secondly, governments are recommended to ensure wide circulation of the appendix to the recommendation to all persons who in their profession are called on to collect and/or process medical data.

35. Finally, the Committee of Ministers abrogates the preceding recommendation on regulations for automated, medical databanks. It is clear that the circulation of the present text implies that Recommendation (81) 1 is repealed.

Appendix to the draft recommendation

1. Definitions

36. The definition of “personal data”, which follows the definition in the convention as interpreted in the explanatory report to that convention, has already been used in many of the sectoral recommendations adopted by the Committee of Ministers in the field of data protection. However, with relation to some preceding recommendations, the drafters of the recommendation considered that in view of the developments in computer technology, the aspect of “costs” was no longer a reliable criterion for determining whether an individual was identifiable or not. The definition was also amended to make clear when data could be considered to be anonymous.

37. In the absence of an internationally recognised definition, the drafters of the recommendation opted for the most comprehensive possible definition of “medical data”, as it considered the concept of “medical records” in the preceding recommendation overly restrictive in the context of electronic data processing and saw a need to go beyond the discreet relationship between doctor and patient, so as to cover any person likely to keep medical data. It was understood that medical data would equally apply to the past, present and future health of the data subject and to both physical and mental health.

38. The drafters of the recommendation further agreed that under the terms of the recommendation, “medical data” should also include any information - unless it is public knowledge - giving a ready idea of an individual’s medical situation, for instance for insurance purposes, such as personal behaviour, sexual lifestyle, general lifestyle, drug abuse, abuse of alcohol and nicotine, and consumption of drugs. This was the reason for including in the definition of medical data the words “manifest and close”, that is, having a clear and direct impact on the health situation of the individual.

39. In so far as the removal of substances of human origin, or the grafting and the transplantation of tissues or organs have led to the constitution of a medical record, the problem of safeguarding anonymity between the donor and the recipient will be covered by this recommendation, since it applies also to an individual’s past health. Such protection of anonymity between donor and recipient is provided for in general terms in Resolution (78) 29 of the Committee of Ministers of the Council of Europe on harmonisation of legislations of member states relating to removal, grafting and transplantation of human substances.

40. When medical data appear together with other information in non-medical files, for example insurance, employment or social security files, the protection measures advocated in this recommendation apply also to medical data kept in such files. Apart from the medical data kept therein, such files may raise important problems in respect of individual freedoms; such problems have been addressed in Recommendation (89) 2 as regards the employment sector and in Recommendation (86) 1 as regards the social security sector.

41. For the purposes of the recommendation, the drafters of the recommendation considered that most of the principles should apply to genetic data as well as to medical data. However, since some principles in the recommendation apply exclusively to genetic data, and in the absence at the time of drafting of a generally accepted definition of “genetic data”, they agreed on the definition which appears in Chapter 1. It was understood that this definition did not include the results of an analysis carried out by other means than DNA technology on blood, tissue, hair, sperm, and so forth. Such material might, however, produce genetic data when analysed.

42. Genetic information may result from phenotypic observations, family history studies and laboratory analyses, including observation of genes closely linked to genes causing disease or observation of such genes themselves by DNA technology. Such studies may be conducted to diagnose a pathological condition in individual patients, to evaluate the possibility of future disease in people who are still healthy, or to assess the risk of a person or couple having offspring with a genetic disorder or disease.

43. Genes control many human traits; genetic data are medical data only if they are relevant to health or disease in an individual or his/her relatives.

44. However, following the mandate they had received, the drafters of the recommendation worded the definition in such a way that genetic data are also covered which are not considered to be medical data in the recommendation.

45. Genetic data are collected and stored for prevention, diagnosis, treatment, genetic counselling and risk evaluation as well as for research purposes. As genetic disorders by their very nature are heritable, their presence has implications for all blood relatives, both present and future.

46. Distinctions can be made between the following categories of genetic data:

47. Phenotypic data refer to observations of inherited normal traits, symptoms or signs in a single individual. These observations include clinical observations made by a physician or a physician/geneticist as well as the results of laboratory analyses that can detect inherited or genetically influenced characteristics. Records of phenotypic data relevant to disease are kept in physicians’ files and may also be stored in various categories of registers such as driving-licence registers or registers kept for research purposes.

48. Data in physicians’ records or registers are genetic data only if they refer to genetically determined, or genetically influenced, traits.

49. Medical history data are in some cases genetic data, namely where information about a given individual indicates that he/she has had symptoms or signs that may reflect the presence of mutant genes.

50. Family data comprise information about a person’s parents, uncles, aunts, grandparents, brothers, sisters, children, as well as more distant relatives. Family data are genetic data only to the extent that the disease or trait in a given person is known to be genetically determined or genetically influenced, or if the occurrence of a trait or disease is such that in the given family(ies) it appears to be inherited or influenced by genes, even if it had previously not been suspected that the trait or disease could be of a genetic nature.

51. Family data also comprise information about marriages between related persons and information about numbers of offspring, stillborn children and abortions. Family data are essential for genetic analyses or normal traits as well as diseases. Records of family data are kept in physicians’ files, in medical registers for use in the future in connection with genetic counselling or diagnosis, even in coming generations, or in research registers.

52. Genotypic data comprise information about specific genes at given gene loci in single persons and their relatives. Genotypic data may be the results of phenotypic observations of an individual and his/her relatives. Today, genotypic data may be the results of DNA analyses.

53. Genotypic data include information that a given person is a healthy, heterozygous carrier of a recessive gene which in the homozygous state would cause serious disease, or of an X-linked gene (in a healthy female) which in a male could cause disease (because males have only one X chromosome).

54. Genotypic data may refer either to normal traits or to diseases that are inherited or where a genetic predisposition is of importance (the latter would be the case with several common disorders).

55. Genotypic data relevant to disease will be recorded in physicians’ files, in genetic registers for future use in connection with genetic counselling or genetic diagnosis, or in research registers.

56. Genotypic data may be stored in police files if they have been obtained in connection with a crime. Genotypic data may also be recorded in institutions for forensic medicine. This may be the case also for genotypic data obtained in connection with paternity cases. In the last instance, data could also be stored in governmental offices involved in protecting the interest of the children in paternity cases.

57. Genetic information amounting to “genetic data” may also be found in adoption registers, twin registers, published books of a genealogical or biographical nature and many other places. The drafters of the recommendation underlined the importance of the meaning given to the term “genetic data” in the recommendation.

58. The collection and processing of genetic data involves the storage of data concerning third parties. These third parties may be constituted by members of the data subject’s genetic line or collateral relatives or members of his/her social family. The drafters agreed to accord an intermediate status to members of the data subject’s genetic line so as to distinguish them from third parties in the strict sense of the term and to grant them a hybrid legal protection; they worded the definition of a “genetic line” accordingly.

2. Scope

59. It should be recalled that Article 6 of the convention stipulates that personal data concerning health may not be processed automatically unless domestic law provides appropriate safeguards. Under the convention, therefore, it is for contracting states to provide appropriate safeguards for the protection of individuals in cases where data relating to health are processed in automated files not covered by this recommendation.

60. Like the convention, which draws no distinction between the public and private sectors, this recommendation applies to files of medical data in both sectors, since they must meet the same requirements and since there is a frequent transfer of data between the two sectors.

61. The recommendation refers on several occasions to “health-care professionals”. The drafters of the recommendation intended this expression to apply to all those persons who, in the exercise of their professions, provide medical care for others. Having regard to the varied categories of health-care professionals, the drafters of the recommendation felt that it would be difficult to provide in Principle 2.1 an accurate and exhaustive description of the medical and paramedical personnel who have to collect or process medical data. For example, in certain states social workers would not fall within the category of health-care professionals but might in other countries. The drafters therefore held that the recommendation should apply to any person or body either routinely or occasionally processing medical data by automated means, whether or not for a legitimate reason. In practice, this means that the principles are applicable to the collection or the processing of medical data for the purpose of medical treatment, the assessment of the health situation or the fitness of a person (for example, for employment, school attendance, national service), preventive care, health consultation, scientific research, rendering social assistance or reimbursement of insurances, as well as for the purpose of identifying an individual.

62. Consequently, since Article 6 of the convention requires appropriate safeguards for the automatic processing of medical data, the drafters of the recommendation agreed that the related principles should also apply to situations where medical data are processed for research purposes (Recommendation (83) 10), in the social security sector (Recommendation (86) 1) and the employment sector (Recommendation (89) 2).

63. The drafters of the recommendation were nevertheless aware of the fact that in some member states domestic law also provides for the collection and processing of medical data in certain sectors other than the health sector, and stipulates appropriate guarantees for this purpose. Consequently Principle 2.1 permits such states not to apply the recommendation to the collection and processing of medical data in those non-medical sectors where national legislation offers other appropriate safeguards for the protection of privacy, in accordance with Article 6 of the convention.

64. In accordance with the definition of “automatic processing” given in Article 2 of the convention, automatic processing within the meaning of the recommendation comprises storage of data, carrying out of logical and/or arithmetical operations on those data, their alteration, conservation, erasure, retrieval or circulation. However, as was noted in paragraph 30 above, automatic processing of medical data might imply the use of information systems other than computers.

65. Like Article 3, paragraph 2.c, of the convention, Principle 2.2 of the recommendation enables any member state to apply the provisions to medical data which are not processed automatically. On the other hand, states should not allow medical data to be processed by other means simply in order to exclude them from the scope of the recommendation.

3. Respect of privacy

66. In conformity with Article 6 of the convention, the recommendation acknowledges that medical data require even more protection than other non-sensitive personal data. Hence the requirement in Principle 3.1, which does not appear in other sectoral recommendations, that the right of privacy be guaranteed during the collection and processing of medical data, as well as the other rights and fundamental freedoms which might be put at risk. As indicated in paragraph 64 above, the term “processing” also includes the conservation of data.

67. For those reasons, Principle 3.2 recalls the requirement in Article 6 of the convention for appropriate safeguards in the law in so far as the various stages of collection and processing of medical data are concerned. It should be noted that Principle 3.2 requires such safeguards for the collection of medical data as well. With regard to the processing of such data, it should be recalled that in the terms of the definition (see paragraph 64 above), these safeguards shall be provided for storage of medical data, for their modification, conservation, extraction, diffusion, etc.

68. As one of such safeguards, Principle 3.2 underlines that in principle only health-care professionals, bound by rules of confidentiality, should collect and process medical data, or where necessary persons acting on behalf of health-care professionals, as long as such persons are subject to the same rules.

69. As pointed out in paragraph 61 above, the drafters of the recommendation recognised, however, that in certain member states other professionals, not directly responsible for health care, could collect and process medical data. The third sub-paragraph of Principle 3.2 provides for this possibility, but only on the condition that this category of professionals must abide by confidentiality rules comparable with those imposed on health-care professionals, or that domestic law provides for appropriate safeguards which are as efficient as confidentiality rules, that is, they are efficient enough to guarantee respect of privacy of the data subject. Principle 3.2 therefore complements Principle 10.4 of Recommendation (89) 2 on the protection of personal data used for employment purposes, which requires that data covered by medical secrecy should be stored only by personnel bound by the rules on medical secrecy.

4. Collection and processing of medical data

70. Once again, with a view to the sensitive nature of medical data, Principle 4.1 recalls the provisions in Article 5 of the convention: the collection and processing must be fair and lawful, and for specific purposes only. These requirements are elaborated further in Chapter 4.

71. The principle of fair collection is made more explicit in Principle 4.2: medical data must, in normal conditions, be obtained from the data subject himself/herself. This principle therefore concerns the “disclosure” of these data by the data subject himself/herself, and not “communication” of medical data by a third party (for example, the doctor).

72. It is obvious that this rule cannot always be applied; in such cases other sources of information may be consulted only if this is necessary to achieve the purpose for which the data are to be processed (for example, medical treatment) or if the data subject cannot provide the data himself/herself. But in any case, the collection of medical data must be in accordance with the related provisions in Chapter 4 (see paragraphs 73-104 hereafter), Chapter 6 (see Consent, paragraphs 129-142 hereafter) and Chapter 7 (see Communication, paragraphs 143-152 hereafter).

73. After the provisions indicating how medical data should be collected (Principle 4.1) and from whom (Principle 4.2), Principle 4.3 lays down when medical data may be collected or processed. They may be collected, if provided for by law, where there is a contractual obligation to do so if this is necessary for the establishment of a legal claim or when the data subject has given his/her consent. Principle 4.3 does not constitute a derogation from Principle 3.2, but sets conditions for the legitimacy of the collection or processing.

74. Medical data may also be collected from the data subject or from other sources if this is provided for by the law for one of the purposes set out in Principle 4.3.a: public health, the prevention of a real danger or the suppression of a specific criminal offence, or another important public interest. When medical data are collected and processed, the appropriate safeguards described in Principle 3 shall be provided by domestic law. Furthermore, medical data may be collected and processed if permitted by law for the purposes set out in Principle 4.3.b: for preventive medical purposes or for diagnostic or therapeutic purposes, or to safeguard the vital interests of a data subject, or with a view to respecting specific contractual obligations, or with a view to the establishment, exercise or defence of a legal claim. In accordance with principle 4.3.c, medical data may also be collected and processed if the data subject has given his/her consent for one or more purposes in so far as domestic law does not provide otherwise. Collection and processing of medical data for the establishment, exercise or defence of a legal claim may be carried out only when a specific case occurs, for example a conflict between a doctor and a patient about treatment, allowing the doctor to communicate data to his/her lawyer in order to defend himself/herself in a lawsuit. Collection “in anticipation” is not lawful. The physical or legal incapacity of a data subject to give his/her consent gives rise to a situation where medical data may be collected, processed or communicated to safeguard the vital interests of this person (Principle 4.3.b.ii and 7.3.b.ii). When medical data are collected and processed in the context of contractual obligations (Principle 4.3.b.iii and 7.3.b.iii), member states of the European Union will, after transposition of the community directive into their national legislation, be able to make use of this option only in the context of labour law; for the other member states of the Council of Europe these principles may be taken into consideration in other fields, such as sport, training or insurance. The drafters of the recommendation felt that in each of these conditions medical data may be collected and processed if the law - including that in common-law countries, in common law or in statute - explicitly provides for it. If the law provides for the collection, without giving the appropriate safeguards required under Article 6 of the convention, a derogation is in fact made under Article 9 of the convention. The conditions set out in that article must be respected, that is, the collection must constitute a necessary measure in a democratic society in the interest of protecting state security, public safety, the monetary interests of the state or the suppression of criminal offences, or of protecting the data subject or the rights and freedoms of others.

75. For the purposes of the recommendation, the authors thought that the expression “the law” should be understood in the sense given to it in the case-law of the European Court of Human Rights. In particular, it must be precise, foreseeable and accessible.

76. The words “if provided for by law” also cover cases where collection and processing are laid down by law. If medical data may be collected and processed as a consequence of an obligation under the law (for example, in the field of social insurances to obtain invalidity pension, or in the field of epidemic prevention), the drafters of the recommendation have trusted the legislator to take account of the other requirements in Article 9 of the convention, that is, that the processing constitutes a necessary measure in a democratic society in the interests of protecting state security, public safety, the monetary interests of the state or the suppression of criminal offences, or protecting the data subject or the rights and freedoms of others.

77. Medical data may therefore be collected without consent, if the law provides for this, “for the purposes of” (that is, in the interest of) public health; this purpose is in line with the derogation for reasons of public safety in Article 9 of the convention. It should also be noted that the words “in the interest of public health” include the management of health services.

78. The drafters of the recommendation agreed that medical data could furthermore be collected without consent, if provided for by law, for the prevention of a real danger or the suppression of a specific criminal offence. Rather than the terminology used in Article 9 of the convention, they preferred the wording used in Recommendation (87) 15 regulating the use of personal data in the police sector. Principle 2.1 of this recommendation excludes an open-ended, indiscriminate collection of data by the police. It expresses a qualitative and quantitative approach to Article 5.c of the convention which stipulates that personal data must be adequate, relevant and not excessive in relation to the purposes for which they are stored. Given that Article 9.a of the convention allows a derogation from this principle in regard to the “suppression of criminal offences”, Principle 2.1 of the recommendation attempts to fix the boundaries to this exception by limiting the collection of personal data to such as are necessary for the prevention of a real danger or the suppression of a specific criminal offence, unless domestic law clearly authorises wider police powers to gather information. “Real danger” is to be understood as not being restricted to a specific offence or offender but includes any circumstances where there is reasonable suspicion that serious criminal offences have been or might be committed to the exclusion of unsupported speculative possibilities. Moreover, processing of genetic data for the requirements of legal proceedings or a criminal enquiry is governed by Principle 4.7 (see paragraph 95 below).

79. Apart from public health, a real danger or the suppression of a criminal offence, there may be other important public interests at stake. Principle 4.3.a.iii permits the law to provide for the collection and processing of medical data to protect such interests.

80. It may be that the data subject is not in a position to give his/her consent. If the law provides for this, the data may be collected and processed to safeguard vital interests of the data subject, or of a third person, that is, to preserve the physical or mental integrity of either the data subject or somebody else including, in the case of genetic data, a member of the data subject’s genetic line. This implies that medical data may be collected and processed without the consent of the data subject for preventive medical purposes, or for diagnostic or therapeutic purposes, with respect to the data subject or to a member of the genetic line, or even a third person, in order to protect an interest which is essential for the data subject’s life.

81. Principle 4.3 permits also the collection and processing of medical data if they are necessary in order to respect any obligation arising from a contract, on condition however that domestic law permits it. The authors of the recommendation felt that, especially in labour law, a contractual obligation or a contractual right should be able to give rise to collection or processing of medical data, as the data subject had already given his/her consent when the contract was concluded.

82. Principle 4.3 also takes account of lawsuits; medical data may be collected and processed without the consent of the data subject if permitted by law and if this collection or processing is necessary for the establishment of a legal right. It should be recalled nevertheless that, by virtue of Principle 4.7, processing of genetic data for the requirements of a legal procedure should be covered by a specific law providing the appropriate safeguards.

83. Apart from any legal provision or obligation, medical data may also be collected and processed if the data subject - or his/her legal representative - has given consent, unless domestic law opposes this. The drafters of the recommendation were aware that, from the point of view of protection of medical data, consent of the data subject gives fewer guarantees than legal obligations or legal provisions which - by virtue of Article 6 of the convention - should be accompanied by appropriate safeguards. In Chapter 6 of the recommendation, the conditions for such consent and the possible derogations are elaborated further.

84. Medical data collected by a health-care professional for preventive medical purposes or for diagnostic or for therapeutical purposes may, after the specific medical care, also be necessary to accomplish other services in the interest of the patient; for example, the chemist will have to supply him/her with the prescribed medicine, the administrative service of the hospital will have to make out the bill, or the social security services will have to organise the reimbursement of the expenses incurred. The authors of the recommendation felt that the purpose of processing by such “health services” (which do not cover insurance companies acting on a contractual basis) is compatible with the purpose of the collection of these medical data. Principle 4.4 accordingly permits processing of medical data for these health services, on condition that the processing is carried out in the interests of the patient.

85. This type of health service may be managed by the health-care professional who collected the medical data, or by someone else. In the latter case, the necessary medical data may be communicated by the health-care professional in accordance with Principles 7.2 and 7.3 (see paragraphs 144 and 145 below).

Unborn Children

86. The protection of the medical data of the unborn child, with a view to the protection of its privacy once it is born, raises specific questions, of in particular, an ethical nature, which are beyond the scope of this recommendation.

87. When drafting principles 4.5 and 4.6, the principal concern of the drafters of the recommendation was not to establish parental authority, but rather to ensure that a child’s medical data were not “public” at the time of its birth. In the absence of a generally accepted legal rule on when an unborn child can be considered to be a person, the drafters of the recommendation were of the opinion that measures should be taken to ensure the protection of the medical data of a child which had been collected and processed before its birth, and that therefore the unborn child should be protected in a way similar to the protection of the medical data of a child after its birth. For example, this may be achieved by considering data of the unborn child to be the personal data of the mother. This requirement is confirmed in Principle 4.5.

88. Following the trend in family law in the member states, the drafters of the recommendation concluded in Principle 4.6 that unless domestic law provides otherwise, the holders of parental responsibilities of the future child should be entitled to act on behalf of the unborn child as a data subject. It was understood that in the exercise of the rights of access to and rectification of the medical data of the unborn child, the interests of the mother must be duly taken into account.

Genetic data

89. In spite of the specific nature of genetic data (see paragraphs 41-58 above), the drafters of the recommendation considered that the conditions for their collection and processing should be the same as those for the collection and processing of medical data, set out in Principle 4.3.

90. In this connection, the drafters of the recommendation were aware that the collection and processing of genetic data may be necessary in the interests not only of the protection of public health, but also the promotion of public health, since genetic analyses might reveal health risks for future generations. They were aware, however, that this possibility should not lead to a proliferation of genetic databanks, or an abuse of genetic data.

91. Principle 4.1, inspired by Article 5 of the convention, implies that genetic data may be processed only for purposes compatible with the purposes for which they were collected, and on the same conditions. The drafters of the recommendation did not include a requirement that genetic data should not be used for artificial modifications of the genetic heritage of data subjects, cloning or the selection of individuals, since such requirement would seem to be outside the scope of the recommendation, and is, in any case, covered by the principle of compatible purposes.

92. Genetic data collected and processed for diagnosis or medical or preventive treatment or for scientific research purposes, should only be used, in the first instance, for these specific purposes or to enable the data subject to take a decision whether or not to undergo treatment; the same principle applies when the data were collected with a view to procreation. Principle 4.7 is a logical consequence of the general principle of purpose specification; to use or re-use such data for other purposes should not be allowed. Principle 4.7 also applies when genetic analysis is carried out to establish whether a person can procreate without risk to the health of his/her future children. In this respect, Principle 4.7 does not aim at establishing an ethical norm on whether or not procreation should be preceded by genetic analysis; the principle merely requires that if genetic data are collected for that purpose in accordance with domestic law or the existing ethical standards, they may be used only to facilitate the data subject’s decision.

93. In defining Principle 4.7 the drafters of the recommendation paid special attention to the use of genetic data for scientific research; in this context they confirmed that such research would be ruled by Chapter 12 “Scientific research”. It was agreed that secondary use for scientific research of genetic data which had been collected for other purposes would not be incompatible with these initial purposes, as long as the conditions in Chapter 12 were respected, in particular Principle 12.2 (see paragraphs 200-209 hereafter) and Principle 12.3 (paragraph 209).

94. Principle 4.7, which applies to scientific research in general, is followed by two principles aimed more specifically at situations where genetic analysis may be carried out with a specific aim.

95. Although the analysis of deoxyribonucleic acid (DNA) within the framework of criminal justice is regulated in Recommendation (92) 1, adopted by the Committee of Ministers on 10 February 1992, the drafters of the recommendation considered it useful to include in this recommendation a provision on the protection of genetic data processed for the purpose of criminal investigations, which also covers analysis of such data for the requirements of judicial procedures.

96. The expression “judicial procedure” is not used in the same way in member states. The drafters of the recommendation wished Principle 4.8 to apply to any procedure before the courts, whether initiated under civil or criminal law, where the judicial proceedings may have recourse to genetic analysis of one or more persons.

97. Consequently, Principle 4.8 requires a specific law for the processing of genetic data for judicial procedures and criminal investigations. By “specific law” is understood either a specific provision of the data protection act, or a specific provision in penal law, as long as they refer to the use of genetic data for the purpose of criminal investigations. This requirement is a logical consequence of Article 6 of the convention which imposes appropriate safeguards in domestic law for the processing of any sensitive data. The principle of compatibility of purposes also applies here: data collected and processed in the framework of judicial procedures and criminal investigations shall be used only for the original purposes and not for other purposes, in particular not to determine other characteristics of the data subject (see paragraph 78 above).

98. The second paragraph of Principle 4.8 is intended to define these purposes. Genetic data processed for the needs of a judicial procedure, for example a paternity suit, should be used only to establish whether or not there is a genetic link between the child and the alleged father. In the same way, in a criminal investigation genetic data should be used only in order to prevent a real danger or suppress a criminal offence.

99. It was considered that the proof of guilt or innocence, even on the basis of evidence supplied by genetic analyses, would be beyond the scope of this recommendation.

100. Principle 4.9 aims at regulating the use of genetic data for purposes other than diagnosis, therapeutic or preventive treatment, scientific research or criminal investigations. This use can only be allowed in principle for health reasons and to avoid every serious risk for the health of the data subject or for a third person. However, in the case of the collection and processing of genetic data in order to predict illness, the recommendation requires the existence of an overriding interest and appropriate safeguards provided for by law in view of the various risks inherent in the collection and processing of genetic data, in particular the risk of discrimination (as far as reference to law is concerned, in view of the case-law of the organs of the European Convention on Human Rights, see paragraph 75 of the present explanatory memorandum).

101. It should be recalled that the conditions for lawfulness laid down in Principle 4.3 also apply to the collection and processing of genetic data.

102. Principle 4.10 adds a supplementary condition for genetic data to be collected and processed: the purpose of collection and processing must be health protection and in particular the prevention of any serious harm to the data subject or a third person.

103. The drafters of the recommendation emphasised that a candidate for employment, an insurance contract or other services or activities should not be forced to undergo a genetic analysis, by making the employment or the insurance dependent on such analysis, unless such dependence is explicitly provided for by law and the analysis is necessary for the protection of the data subject or a third party (for example work with dangerous substances).

104. Principle 4.9 is even more specific with regard to the collection and processing of genetic data with a view to predicting illness. Such data may be collected and processed if the interest in doing so overrides the data subject’s interest in not having his/her genetic data collected and processed (for example a collective interest) and if domestic law has provided appropriate safeguards. It was understood that such overriding interest should be in accordance with the related criteria set out in Principle 4.3.

5. Informing data subjects

105. One of the means to ensure that medical data are obtained and processed fairly and lawfully, as required under Article 5 paragraph a of the convention, is to inform the data subject whose data are collected of a number of elements. These elements are listed in Principle 5.1.

106. It is obvious that such provision of information is indispensable when the data subject is required to give his/her “informed” consent (see paragraph 130 hereafter).

107. But even in cases where his/her consent is not required - that is, when the collection and processing of medical data follow an obligation under the law or under a contract, are provided for or authorised by law, or when the consent requirement is dispensed with - the recommendation provides that the data subject is entitled to relevant information. Although the drafters of the recommendation agreed that as a general rule Principle 5.1 should be strict, they admitted two kinds of derogation. First of all, Principle 5.6 allows for derogations to be made for certain reasons of public interest, for protection of the data subject or a third person, or in medical emergencies. Secondly, information on the various elements listed under a, b, c and d has to be supplied only in so far as it is relevant (see paragraphs 115, 116 and 124 hereafter).

108. Principle 5.1 identifies the following elements on which the data subject must be informed:

a. the existence of a file containing his/her medical data, and the type of data collected or to be collected: in most cases, it may also be necessary to collect personal data from the data subject other than medical data;

b. the purpose or purposes for which the data are or will be processed: apart from medical purposes, the data may have to be processed for other purposes, for example for reimbursement of expenses, for research or for statistics;

c. where applicable, the individuals or bodies from whom the data are or will be collected: Principle 4.2 provides for the possibility to obtain medical data from other sources;

d. the persons or bodies to whom and the purposes for which they may be communicated: apart from health-care professionals, other professionals, including chemists, social security officials, and family members or legal representatives, may have to be informed of certain medical data for specific purposes;

e. the possibilities for the data subject to refuse or withdraw his/her consent, if possible, and the consequences of such withdrawal: if the data subject has the possibility to refuse or withdraw his consent, it is clear that any such refusal or withdrawal can only apply to his/her own medical data. It should also be made clear that the obligation to inform the data subject in no way prejudices the existence of the right to refuse or withdraw consent;

f. the identity of the file controller and, where appropriate, of his/her representative as well as the conditions under which the rights of access and of rectification may be exercised.

In accordance with Article 8, paragraph a, Principle 5.1 requires that the data subject be informed of the identity of the person responsible for processing his/her medical data, or of his/her representative.

These conditions for the exercise of rights of access and rectification are laid down in Chapter 8 of the recommendation.

109. According to Principle 5.2 the information should be provided before the data are collected. This is not always possible, for example when the data cannot be collected from the data subject himself/herself. In such cases he/she must at least be informed, as soon as possible, that his/her data have been collected and, in so far as necessary and possible (for example if the data subject is already aware, or is not in a position to understand) the relevant elements listed in Principle 5.1 must be provided.

110. The drafters of the recommendation agreed that it be left to each member state to determine ways and means to supply the information.

111. Provision of the information on the elements above may be partly of a general nature, that is, some information applies to all patients who are treated by a given health-care professional or in a given health-care institution. For instance, the public at large should be given general notice in advance of any plans involving the introduction of automatic processing systems for medical data. Such “collective” information may be given by the most efficient and practical means, for example on posters, in leaflets or in public registers.

112. Other parts of the information may concern the health situation of a given individual, that is, apply only to the patient and his/her particular medical data. In such cases Principle 5.3 requires this sort of information to be appropriate and adapted to the circumstances and in accordance with the rules of deontology. The information and the method of supplying it should then be specially aimed at the individual and his/her capacities to understand it: the information must be “individualised” and preferably be given to each data subject individually.

113. In the same way, the relationship of trust between the patient and doctor may have consequences for the content and form of the information. “Information (...) appropriate and adapted to the circumstances” also takes account of this relationship, and provides, for example, that the doctor should give supplementary information if his/her patient requests it.

114. The drafters of the recommendation underlined, however, that any relevant information, whether provided collectively or individually, is equally important, and should in all cases be appropriate.

115. The drafters of the recommendation also acknowledged that on some occasions the data subject may not have to be told some or all of the elements referred to in Principle 5.1, either because these elements are obvious to him/her from the context in which the medical data are collected, without the need for further explanation, or because he/she has already been properly informed of these elements on a previous occasion.

116. “Information (...) adapted to the circumstances” can imply that the requirement of information may partly be waived in respect of certain elements, if the health-care professional in charge of the treatment believes that knowledge of any of these elements might harm the person whose data are to be collected. In such a case he/she may either postpone the providing of information, or supply it through another medical doctor, designated by the patient. The drafters of the recommendation saw no need to include a specific principle on this possibility.

117. All these provisions, however, only allow the right to information to be adapted, not to restrict the information.

118. The data subject need not be informed by the actual person in charge of processing the data. However, the person in charge of the medical treatment should ascertain himself/herself that the patient has had the opportunity to obtain in particular the “individualised” information. The drafters of the recommendation were aware of the difficulties which the medical doctor might meet in practice; they agreed therefore that he/she should see to it that the data subject has had access to the information, unless this is manifestly unreasonable or impracticable.

119. A genetic analysis may produce other results than the information sought; such unexpected findings, that is, findings which are not causally linked to the aim of the analysis, may cause harm to the data subject, or he/she might prefer not to know them. Moreover, the drafters of the recommendation felt that developments in genetic research are too recent and too significant to expect the uninitiated to be as familiar with the potential results as with those of a traditional medical examination. Principle 5.4 recommends therefore prior informing of the data subject on the objectives of the genetic analysis, and on the possibility of finding more. If necessary, this provision of information may be deferred.

120. As indicated in paragraph 41 above, blood tests are not in themselves genetic analyses. The drafters of the recommendation thought that establishing the rhesus factor should not be considered as an analysis of the human genome, to which Principle 5.4 applies.

121. It is clear that information can be supplied only to persons capable of understanding; Principle 5.5 provides for the information to be given to the person legally recognised to act in the interests of a data subject who is legally incapacitated. Under “legally incapacitated persons” the drafters of the recommendation understood any person whose situation gives rise to his/her consent being defective under domestic law.

122. However, in some member states domestic law permits certain incapacitated persons to act on their own behalf if they are capable of free decision (for example, on medical contraception). In such cases, Principle 5.5 allows the information to be given to the data subject himself/herself.

123. The drafters of the recommendation felt that the “information (...) appropriate and adapted to the circumstances” required in Principle 5.3 should apply equally to de facto incapacitated adults. Rather than create a supplementary category of derogations from the right to information, with the risk of abuse, the drafters wished to place confidence in health-care professionals.

The recommendation encourages the provision of information to legally incapacitated persons who are, however, capable of understanding it; as will be seen in Principle 6.4, account should be taken of the opinion which such persons express, unless this is contrary to domestic law.

124. As pointed out in paragraph 107 above, the drafters of the recommendation acknowledged that under certain conditions medical data could be collected without informing the data subject of each of these elements. These conditions are listed exhaustively in Principle 5.6 of the recommendation. The drafters agreed that such derogation from the information requirement could not be made when access to the data was refused, limited or delayed (see paragraph 156 hereafter).

125. It was emphasised, however, that any derogation would in general apply only to the requirement of provision of information prior to the collection of data; to the extent possible the obligation to inform the data subject after the collection would remain valid, as would the general obligation to obtain his/her consent before processing the data.

126. In the spirit of Article 6 of the convention, which requires appropriate safeguards for the processing of medical data, the drafters of the recommendation, in respect of the requirements of individualised information and consent (see also paragraph 133 hereafter), narrowed in Principle 5.6.a the possibilities for providing for derogations and restrictions which are otherwise allowed under Article 9 of the convention. In this way such derogations and restrictions are allowed only if provided for by law, and if this constitutes a necessary measure in a democratic society in order to prevent a real danger or to suppress a specific criminal offence (see paragraph 78 above), to protect the data subject or the rights and freedoms of others, including relatives of the data subject, or for reasons of public health (see paragraph 77 above).

127. It may be in the interest of the data subject if in emergencies those medical data which the health-care professional considers necessary for treatment are collected and processed before he/she is informed of this collection (Principle 5.6.b).

128. Subject to paragraph 119 above, it should be emphasised that Principle 5.6 does not permit derogation from the right to information before collection of genetic data as laid down in Principle 5.4; indeed, the drafters of the recommendation felt that collection of genetic data should always be preceded by the informing of the data subject, unless the urgency of this collection requires the deferment of such provision of information.

6. Consent

129. One of the conditions on which medical data may be collected and processed is that the data subject has given his/her consent in so far as he/she is capable of doing so. As these data are regarded as sensitive data within the meaning of Article 6 of the convention, Principle 6.1 requires that the consent be “free, express and informed”. It may be obtained in coded form (as with plurifunctional cards, for instance).

130. Free, express and informed consent given in writing is a requirement laid down in the recommendations on data protection in other sectors; for the processing of medical data, such consent need not be written; it can also be given orally, or by means of a recording, provided that the desired purpose of authenticating the data subject’s agreement is achieved.

131. Consent is “informed” if the data subject is informed in particular of the purposes involved and the identity of the data controller. Consent is “free” if the data subject has the possibility to refuse his/her consent, to withdraw it or to modify the terms and conditions of consent.

132. The drafters of the recommendation were aware that the principle of free consent implied the possibility of withdrawal. However, it was accepted that a provision on the possibility for the data subject to withdraw consent at any time would lead to too many practical problems (for example, in a fully automated hospital). It should be clear, however, that if domestic law makes social benefits dependent on the processing of medical data, the data subject must accept that withdrawal of consent might imply the loss of these benefits.

133. The drafters of the recommendation also acknowledged that under certain conditions medical data could be processed without the data subject’s free, express and informed consent. These conditions are listed exhaustively in the recommendation.

134. As regards the collection of medical data in the course of a consultation or treatment for preventive, diagnostic or therapeutic purposes by a doctor, and which the data subject has freely chosen, the drafters of the recommendation felt that the consent of the patient need not be expressed if the data were indeed to be processed only for the provision of care to the patient. Principle 4.3.b.i provides the legal basis for processing medical data in the context of the management of a medical service operating in his/her interest (see paragraph 84 above).

135. The observations made under paragraph 134 also apply to the auxiliary staff of the person in charge of the treatment, for example nurses and secretaries, and members of other health-care professions who assist the attending physician (radiographer, scanner).

136. Principle 6.2 provides that after genetic analysis the data subject should only be informed of the results in so far as these correspond to the objectives of the consultation, of the diagnosis, or of the treatment, unless the data subject himself/herself has asked for more information (see Principle 8.4 hereafter). In other words, the content of the consent is decisive for access to the results of the analysis (see paragraph 164 hereafter).

137. Principle 6.3 provides that if a legally incapacitated person cannot decide freely, nor act on his/her own behalf, consent for the processing of his/her medical data must be given by the person legally entitled to act in the interest of the incapacitated data subject or by any other authority, body or person designated by the law.

138. Up to the age of legal capacity, the parents of a minor are legally competent to fulfil the required conditions of consent on his/her behalf. Where there are no parents, the court appoints a guardian to perform this function. The same applies to any other person or body recognised by domestic law as being legally competent to manage the affairs of the minor.

139. As to adults de facto incapable of giving their consent, for instance for reasons of mental illness, the drafters of the recommendation considered that the national legal systems or courts should appoint a legal representative or other authority, body or person able to give consent on behalf of the incapacitated person.

140. Consent by the legal representative or other authority, body or person designated by law, can only be given instead of the consent required from the data subject, and on the same conditions.

However, if in accordance with Principle 5.5, the incapacitated person has been informed (see paragraph 122 above), his/her wish to accept, or not, collection and processing of his/her medical data should be taken into account unless this is contrary to the law.

141. In medical emergency situations, medical data may be collected and processed even without the consent of the data subject. This follows from Principle 4.3, sub-paragraph a.iv (see paragraph 80 above). However, the drafters of the recommendation underlined that any decision to proceed to the collection and processing of medical data without consent of the data subject should not be taken for reasons of interest to persons other than the patient. For example, a decision to disclose health data for medical research purposes should not be taken by the researchers themselves; an independent third party should be found, for instance a family member. Furthermore, it is clear that in such situations only those data may be collected and processed which are necessary for the medical treatment, and only as long as the data subject is not able to give consent.

142. The drafters of the recommendation agreed that there was no need for a special principle explicitly dispensing the person in charge of medical treatment from the requirement to seek consent when this might cause serious harm to the data subject. The consent is dispensed with by virtue of Principle 4.3.b.i.

Moreover, Principle 5.6 allows information to be withheld from the data subject for his/her own protection; any consent required in such circumstances would therefore not be “informed”.

7. Communication

143. It is obvious that medical data, one of the categories of sensitive data for which the convention requires special protection, should not be communicated outside the medical context in which they were collected, unless they are made anonymous (in which case the data no longer fall under the definition of personal data).

There are however certain circumstances under which relevant medical data must be disclosed to other persons or bodies which, while not in charge of the medical treatment of the data subject, act otherwise in his/her direct interest (for example social security services), or are in charge of medical research. In the latter case, the provisions under Chapter 12 apply as well as the provisions in this chapter. Principle 7.3 defines four alternative conditions for such disclosure.

144. As is clear from Principle 7.3, medical data may be communicated under certain conditions and also outside the medical sector. However, Principle 7.2 introduces, as one of the appropriate safeguards referred to in Article 6 of the convention, the preliminary condition that such communication may only be made to persons bound by confidentiality, unless the domestic law provides for other safeguards. The rules of confidentiality are medical secrecy, for the medical sector or comparable rules for other sectors. In all cases, the person who receives the data should be subject to the principles of the recommendation.

145. Principle 7.3 permits communication of medical data in so far as they are relevant to attaining the objective for which they are communicated, even without the knowledge of the data subject and even for a purpose other than that for which the data were collected. The drafters of the recommendation have consequently taken care to specify the four alternative conditions under which such communication may take place.

146. First of all, the drafters of the recommendation based paragraph a on the conditions imposed in Article 9 of the convention for any derogation from the protection of sensitive data. Communication of medical data may therefore take place if it is provided for by law and constitutes a necessary measure in a democratic society for one of the following objectives:

a. reasons of public health (for example, in the case of contagious diseases);

b. protection of the data subject himself/herself (for example where communication is clearly in his/her own interest);

c. protection of a member of the genetic line (for example where the results of a genetic analysis point to a serious risk for another member of the genetic line; see paragraph 151 below);

d. protection of the rights and liberties of others if respect of these rights and liberties clearly overrides the interests of the data subject (for example in the case of contagious disease);

e. respect of contractual obligations with regard to labour law (for example in cases of sickness of the employee);

f. prevention of a real danger or suppression of a specific criminal offence (for example the search for a wounded criminal in a hospital; see also paragraph 78 above);

g. any other important public interest (for example state security).

147. The drafters of the recommendation agreed that the expression “measure which is necessary in a democratic society” permits communication in the case of an interest which overrides that of the data subject.

148. Secondly, medical data may be communicated if such communication is necessary for the proof, exercise or defence of a right in court. As this concerns communication of sensitive data, in the interest of a third person, without the knowledge of the data subject and for purposes incompatible with those of collection, the drafters of the recommendation emphasised that the proof, exercise or defence of a right in court shall prevail over the right to privacy of the data subject.

The physical and legal incapacity of a data subject to give his/her consent gives rise to a situation where medical data may be collected, processed or communicated to safeguard the vital interests of this person (Principles 4.3.b.ii and 7.3.b.ii).

With regard to collection of medical data in the context of contractual obligations (7.3.b.iii and 4.3.b.iii), member states of the European Union may use this option only in the context of labour law; in other member states of the Council of Europe these principles may be taken into consideration in other fields, such as sport, training or insurance.

149. Thirdly, medical data may be communicated if the data subject - or his/her legal representative - has given his/her consent and domestic law does not provide otherwise. By virtue of Principle 6.1 this consent should be free, express and informed (that is, be preceded by prior provision of information as required in Principle 5.1); consent is not required when the conditions described in Principle 7.3.d are fulfilled.

150. Consent may be given for a clearly defined purpose, or the communication may be made for several purposes at once, for example for medical research in general. It should be noted that such communication, based on consent, is not necessarily accompanied by the appropriate guarantees required by Article 6 for communication in accordance with domestic law.

Such communication is, however, dependent on domestic law to take account of member states where medical secrecy rules exclude any disclosure of medical data by health-care professionals, even if the data subject consents. Such rules vary from one state to another.

151. Fourthly, medical data may be communicated where the following cumulative conditions have been fulfilled:

a. the data subject (or his/her representative) has not opposed the (non-obligatory) communication;

b. domestic law is not opposed to it;

c. the data had been collected in a preventive, diagnostic or therapeutic context freely chosen by the data subject;

d. the purposes of communication and preceding processing are not incompatible. The drafters of the recommendation felt that such compatibility exists where the data are communicated for treatment of the patient, or to manage a medical service acting in his/her interest (see paragraph 84 above).

152. The drafters of the recommendation acknowledged that the questions raised by disclosure of genetic data would seem to be of an ethical nature and beyond the scope of this recommendation. From the point of view of protection of personal data they considered that the person subjected to a genetic analysis should be encouraged to advise the other members of his/her genetic line to ask for genetic consultation when the resulting information needs confirmation or reveals the existence of a serious risk for their health.

Furthermore, and depending on national legislation and professional rules of conduct, if the health of a blood relative (on the mother’s or father’s side) is exposed to a serious and imminent risk, the health-care professional involved should be allowed to inform that member, even if the person subject to the original genetic analysis refuses to give his/her consent or this consent cannot be obtained. The data subject should be informed of this.

8. Rights of the data subject

153. One of the most important principles in the field of data protection, confirmed in Article 8 of the convention, is the right of every person to know the information about him/her stored by other persons. In the medical field there are three main obstacles to the application of this principle. Firstly, it may be extremely detrimental to the treatment of a patient if he/she is given the full facts about his/her case. Secondly, medical information as such may make little sense to the layman. And thirdly, medical data, and in particular genetic data, may concern also persons other than the data subject.

Rights of access and rectification

154. Principle 8.1 summarises, in respect of medical data, the provisions under Article 8, paragraphs a and b, of the convention: as a general rule, every person shall be enabled to have access to information about himself/herself in a medical file and implicitly to know of its existence. Exceptions to this rule should be reduced to a minimum; as an example of such an exception, it might be detrimental for a patient to know that he/she is on record in a cancer register.

For this reason, Principle 8.1 leaves the option that the right of access be exercised indirectly (see the following paragraph); in that case, and unless this would be contrary to domestic law, the data subject should specify this and be enabled to designate for this purpose a person of his/her choice, who should be given full access.

155. In some member states, domestic law does not enable the data subject to have direct access to his/her medical data (for example in accordance with the rules of medical secrecy), which in fact constitutes a derogation under Article 9 of the convention. If, however, this right exists and the data subject does not wish to exercise it himself/herself, he/she should be enabled to designate a person – in accordance with domestic law - to have access. Depending on the law in force, such a person may be a medical doctor or other health-care professional, a relative or any other person of the data subject’s choice.

156. As is the case with “individualised” information (paragraph 112 above), the data subject must be enabled, to the extent possible, to understand the information to which he/she has access. This does not mean that medical data must be stored in an intelligible form; in many cases information will be coded, for example diagnostic groups. What is important is that the information is accessible to the data subject - or the person of his/her choice - in a form which can be understood by him/her.

157. Like Article 9 of the convention, Principle 8.2 allows for derogations to be made from the right of access to medical data if the law provides for such refusal, limitation or delay. Principle 8.2 is also based on the general principle of proportionality; access to medical data cannot be refused, limited or delayed except to the extent to which it is necessary: each case should be considered on its own merits.

158. Firstly, the right of access may be refused, limited or delayed if this constitutes a measure which is necessary in a democratic society to protect state security, public safety or for the suppression of criminal offences. The drafters of the recommendation felt that access to medical data should not be restricted to protect the monetary interests of the state.

159. Secondly, access to medical data may also be refused, limited or delayed if it is likely to cause serious harm to the data subject’s physical or mental health; paragraph 8.2.b recognises “the right not to know”. In such cases it would, however, be desirable for access to be given indirectly (see paragraph 152 above), and in any case as soon as the risk of harm no longer exists, access must be given.

160. Thirdly, access may be refused, limited or delayed if it would reveal information on third parties, and the protection of the personal data of this third party would override the interest of the data subject to have access to his/her own medical data. Moreover, the drafters of the recommendation provided also in paragraph c for the possibility to refuse, limit or delay access to genetic data when this might cause serious harm to a member of the genetic line, or to a person who has a direct link with this line, for example a presumed family member who appears not to be a member of the genetic line, or a presumed outsider who turns out to belong to the family.

161. Finally, paragraph d of Principle 8.2 opens the possibility, provided for in Article 9, paragraph 3, of the convention, of restricting the right of access to data used for statistical purposes or scientific research, where this restriction creates no risk of infringement of the privacy of data subjects, for example where safeguards provide that the data will not be used for taking decisions about the data subject.

162. Under Article 8 of the convention, the right of access to one’s personal data goes hand in hand with the data subject’s right to obtain, on certain conditions, rectification or erasure of his/her data. A general principle of data protection is that data must be corrected or erased if they are erroneous. In the medical sector, however, the exercise of this right of rectification or erasure may sometimes raise problems of a specific nature.

163. Principle 8.3 therefore allows the data subject to ask for rectification of such erroneous data, but not for their erasure, because even erroneous medical data might have their importance for the data subject’s medical history.

164. It is clear that the data subject cannot be enabled to obtain rectification of medical data to which he/she has not been given access - direct or indirect - under Principle 8.2.

165. Personal data in a medical file may be accompanied by “judgmental data”: opinions and evaluations made by the persons in charge of the medical analysis or treatment which thus also constitute medical data, but data on which these persons may claim a certain right of determination. Although the drafters of the recommendation recognised that, as in the employment sector (Recommendation (89) 2), the data subject should in principle have the right, in accordance with domestic law, to contest judgmental data in his/her medical file and have such contest recorded, they admitted that to formulate a specific principle on this issue would meet with too many difficulties in practice.

166. Following the preceding Recommendation (81) 1 on regulations for automated medical databanks, the drafters of the recommendation considered that data subjects should be allowed to appeal against a refusal to rectify erroneous data. Depending on domestic law and national practice, such appeals could be lodged either with the competent tribunal, or the data protection authority. If, in accordance with Principle 9.3, the controller of a medical file has drawn up internal regulations, such appeal might be addressed to either the person or body to whom certain decisions must be submitted for approval, or the person who supervises the use of the medical data file, or the person to whom appeal may be made in the event of dispute, if such persons have been designated in the internal regulations (see paragraph 179 hereafter).

Unexpected Findings

167. As indicated in paragraphs 119 and 160 above, unexpected results of a genetic analysis may cause harm to the data subject or other members of the genetic line which is of more importance than the data subject’s right to know his/her own genetic data, for example, presence of unexpected family relations, or absence of presumed family relations. Such incidental data were not the purpose of the analysis; nobody asked for them. Moreover, Article 5 of the convention requires that data undergoing automatic processing shall be adequate, relevant and non-excessive. The best protection of such incidental data would be their immediate erasure.

168. Paragraph c of Principle 8.2 allows access to genetic data to be refused, limited or delayed, if it is provided for by law, if revealing these data is likely to cause serious harm to consanguine/uterine kin or to a person in the direct genetic line (see paragraph 160 above).

169. However, the drafters of the recommendation were aware that the convention also requires in Article 8 that the data subject shall be enabled to have access to his/her data. In the genetics sector, the right of access to probably complex data should be understood rather as a right to comprehensible information for the data subject. Moreover, it was noted that Principle 11 of Recommendation (92) 3 on genetic testing and screening for health-care purposes was worded as follows:

“In conformity with national legislation, unexpected findings may be communicated to the person tested only if they are of direct clinical importance to the person or the family. Communication of unexpected findings to family members of the person tested should only be authorised by national law if the person tested refuses expressly to release information even though the life of the family members is in danger.”

170. For these reasons Principle 8.4 does not entirely exclude the possibility that information on unexpected findings be given to the person subjected to an analysis. However, the following conditions must be met:

either

a. domestic law must not prohibit such information; and

b. the person himself/herself has asked for the information; and

c. the information is not likely to cause serious harm to his/her health (physical or mental) or cause harm to certain categories of persons;

or

the information is of direct importance for the treatment of the person or for the prevention of harm to his/her health, or is not prohibited by domestic law.

171. The categories of persons who should not be harmed include, first of all, consanguine/uterine kin, that is members of the genetic line of the person who has undergone the genetic analysis. Secondly, the drafters of the recommendation believed that this protection should also be extended to persons belonging to his/her social family, that is the persons who, while not belonging to his/her natural or legal family, are however linked by ties of affinity, such as the spouse or an adopted child. Thirdly, protection should be extended to those people who are not members of the genetic line or of the social family, but who have a direct link with the person who has undergone the analysis, for example the sperm donor.

172. In certain member states, domestic law does not permit information on unexpected findings to be concealed, in the interests of a third party, from the data subject who has made the request for the information. Principle 8.4 permits, in this case, a derogation from this restriction of information, on condition that domestic law provides other appropriate safeguards to protect third persons.

173. Since Principle 8.4 already constitutes a derogation from the right of access the restrictions set out in Principle 8.2 do not apply to it.

9. Security

174. As a first rule, the general provisions regarding security laid down in the convention apply to medical data files, and in particular its Article 7. Principle 9.1 takes up this provision, adapts it to the particular nature of medical data and to the special conditions in which they are collected and expands it further.

175. The drafters of the recommendation believed that the measures laid down in Principle 9.1 should also be taken with respect to genetic data and, as far as possible, should cover the carriers of these data, such as samples taken from human bodies.

176. Furthermore, under Article 6 of the convention, personal data concerning health may not be processed automatically unless domestic law provides appropriate safeguards.

177. The drafters of the recommendation underlined the growing importance of security measures, because of the increased use of electronic equipment by general medical practitioners, the many thefts of such equipment and the relatively low expenses incurred by the implementation of such measures. Therefore, Principle 9.2 requires in particular a policy aimed at ensuring the security and accuracy of medical information systems, including a number of security counter-measures similar to those defined in Article 118 of the convention implementing the Schengen Agreement of 14 June 1985. Such measures should balance the smooth functioning of the system for the benefit of the patient against the safeguards necessary for his/her privacy to be protected against undue intrusion. They should keep up with the technological developments in information systems, without however leading to disproportionate expenses. Moreover, the measures should be appropriate. For instance, a practitioner should not leave his/her personal computer in an unlocked room; larger health-care centres should be equipped with code systems for access to computers.

178. In respect of sub-paragraph e of Principle 9.2 (access control), the system design should be appropriate to the circumstances, for example, to keep the different types of data together when this would facilitate the patient’s care and treatment. Information should preferably be available only on a need-to-know basis.

179. In the case of medical files of a certain volume, to which, apart from the person in charge of medical treatment, other health-care professionals have a legitimate access, Principle 9.3 recommends that the controller of such files draw up, in conformity with domestic law, internal regulations to ensure respect of the relevant principles in this recommendation. Such regulations should also designate the persons with whom an appeal could be lodged if rectification of erroneous data were refused (see paragraph 166 above).

180. Where controllers of medical files cannot themselves ensure that security measures are being respected, they should under Principle 9.4 appoint information security agents, not in order to pass on their own responsibility for the security of the medical data, but in order to delegate some of their tasks.

10. Conservation

181. The recommendation takes account of a situation in which medical data files must be treated differently from most other types of data files. As a general rule, expressed in Principle 10.1, medical data must not be stored longer than is necessary, for it is a threat to his/her privacy if information relating to any individual is allowed to accumulate as the years go by.

182. However, the interests of public health, medical research, the treating physician, the controller of the file or historical or statistical reasons may require the long-term conservation of medical data, even after the death of the persons concerned. Specific regulations exist in a number of member states for the conservation of medical archives. Principle 10.2 permits the long-term conservation of medical data, provided that adequate safety and privacy safeguards are given.

183. Personal data collected during genetic screening and diagnosis and associated genetic counselling may be stored, including data on genetic counselling, diagnosis and prevention of disease. For purposes of medical care - diagnosis, treatment and prevention of disease - and for related research, long-term storage of genetic data may be needed because of the nature of genetic diseases. Particular consideration should be given to specific security requirements necessitated by the long-term storage of genetic data.

184. Principle 10.2 can also apply to incidental data resulting from genetic analysis.

185. When medical data are conserved, the privacy of the patient is best safeguarded by anonymisation of his/her data. If this is not possible, other special safety measures must be taken for this purpose.

186. However, none of these safeguards affects, in principle, the right of the data subject to require erasure of his/her medical data once they are no longer useful for the purpose for which they were collected. This right can be restricted only by overriding and legally protected interests, for example legal obligations to store medical data in archives, or when domestic law does not allow erasure by the data subject, or when the legitimate interests of the health-care professional to conserve data of his/her patients to defend himself/herself against possible allegations of incorrect diagnosis or treatment would oppose erasure (Principle 10.3).

187. The drafters of the recommendation did not include a provision on the transfer of medical data to another health-care professional, if the data subject asked for this, because of the questions which such obligation would raise outside the scope of the recommendation.

11. Transborder data flows

188. With the increasing mobility of persons, the transborder flow of medical data becomes more and more important: the life of the data subject may depend on the rapid and uncomplicated communication of his/her medical data.

189. Yet, with a view to the sensitive nature of medical data and the risk which unauthorised access poses for the data subject’s privacy, Principle 11.1 confirms explicitly that the provisions in this recommendation apply also when medical data are transferred across the border. In this, and in the following Principles 11.2, 11.3 and 11.4, the recommendation follows Recommendation (91) 10 on the communication to third parties of personal data held by public bodies.

190. Principle 11.2 sets out the principle of free flow of data. Since a contracting party to the convention must be possessed of data protection norms consistent with the convention’s basic principles, there is no prima facie justification for restricting the flow of data to it. This is certainly the case when the exporting state is also a contracting party. However, Principle 11.2 is not exclusively concerned with the situation in which the communicating country is a contracting party. It also envisages personal data being communicated by states not party to the convention, including states which have not yet adopted legislation on data protection. The drafters of the recommendation have sought to encourage the acceptance by all countries of the principle of free flow of data to states which have ratified the convention.

191. The provisions of Principle 11.2 are without prejudice to the right of a contracting party to determine the conditions for the transfer of particular categories of personal data or personal data files in accordance with the provisions of Article 12, paragraph 3.a of the convention.

192. Principle 11.3 deals with the situation in which the state of destination ensures protection of medical data which is in accordance with the basic principles of the convention as well as the philosophy of this recommendation, but has not yet ratified the convention. Certain states have in fact adopted data protection laws in conformity with the convention but have not yet reached the stage of depositing their instrument of ratification. As in Principle 11.2, Principle 11.3 similarly encourages the free flow of data to such states. It is felt that even though ratification of the convention is an absolute necessity at some stage, the legal situation in regard to data protection in such countries should be accepted as sufficient and transborder communication should be allowed to take place without further conditions. To use the terminology of the convention, an “equivalent level of protection” may be deemed to exist in such countries, at least when the data are to be imported from the territory of contracting parties.

193. Principle 11.4 deals with a situation in which the state of destination has not ratified the convention and does not ensure the effective protection of personal data which can be considered to be compatible with the basic principles of the convention. In this case, and so as not to weaken the protection of data subjects and so undermine the scope of data protection principles, in particular the principles laid down in the convention as well as in this recommendation, exporting states should allow communication of medical data to third parties resident in such countries, only if one of the two conditions hereafter is met.

194. Sub-paragraph a of Principle 11.4 provides for an alternative method of ensuring data protection in the event of communication of medical data to countries which have not yet legislated for data protection. The alternative method envisages the exporting country taking measures which could guarantee the integrity of the data, including respect of the principles laid down in the convention and in this recommendation, in the territory of the country of destination. One such measure could require the importing third party to commit itself contractually to respecting data protection principles. In this regard, reference should be made to the model contract which has been drawn up by the consultative committee of the contracting parties to the convention. The use of contract law, it should be emphasised, is to be regarded as a stop-gap measure pending the enactment of data protection provisions in the country of destination and should not be seen as replacing the need to adopt such provisions at some stage. In order to allow for dispute resolution free from considerations of national law, the contract should provide for a system of independent arbitration. The competence of the independent arbitrators should extend to enabling the data subject to enforce his/her rights in regard to his/her data and to awarding him/her compensation in the event of such rights being denied by the third party. Principle 11.4, sub-paragraph a, stresses that the use of such measures as an alternative to protection by domestic law is conditional on the data subject being informed of the possibility that his/her data may be communicated to third parties situated in countries not having data protection provisions, and being given the opportunity to object to the communication.

195. In the second place, the drafters of the recommendation have suggested that communication could take place if the data subject had given consent, and thereby had taken the responsibility in the circumstances envisaged for his/her medical data to be communicated outside his/her national territory to a country where it is impossible to monitor the fate of the data.

196. Principle 11.5 recommends that in the case of transborder data flows appropriate supplementary measures be taken for the security of the data. The exporter of the data should, in such cases, indicate the purposes for which the data were collected, and the persons to whom they may be communicated. The importer should undertake to respect these purposes, and not to communicate to other persons or bodies, unless he/she is obliged to do so under domestic law (for example in criminal investigations). It is clear that such supplementary measures cannot be required in emergency situations, and are superfluous when the data subject has himself/herself accepted the transfer.

12. Scientific research based on medical data

197. Although the recommendation does not refer to it explicitly, the requirement in Article 5 of the convention that personal data undergoing automatic processing should be adequate, relevant and not excessive applies equally to medical research: only the data necessary for the purposes of such research should be used.

198. The primary means of protecting medical data to be used for scientific research purposes, called for in Principle 12.1, is to make them anonymous. For this reason, researchers as well as public authorities concerned are urged to develop anonymisation techniques.

199. The second means of protection advocated by the recommendation involves arrangements for supervising planned research projects based on the quality requirements laid down in Article 5.b and 5.c of the convention (Principle 12.4; see paragraphs 211-212 hereafter).

200. The nature or objectives of certain research projects sometimes make it impossible to use anonymous data. In such cases under Principle 12.2 personal data may be used if the purposes of the research project are legitimate and one of the conditions listed is fulfilled.

201. Firstly, personal data may be used for medical research if the data subject has been duly informed of the research project - or at least if the information requirements in Chapter 5 have been respected - and has given his/her consent for that particular project, or, at least, for the purposes of medical research (sub-paragraph a).

202. Secondly, in the case of a legally incapacitated person, this consent must have been given in accordance with Principle 6.4, and the research project must have a connection with the medical condition or disease of the data subject (sub-paragraph b). The drafters of the recommendation agreed that any consent given on behalf of a legally incapacitated person should not be motivated by material interests, but that any explicit requirement along these lines would be outside the direct scope of this recommendation.

203. Thirdly, cases may arise where the data subject cannot be found or where for other reasons it is apparently impossible to obtain consent from the data subject himself/herself (for example, in the case of an epidemic). When in such cases the interests of the research project are such that they justify the consent requirement to be waived - for example in the case of an important public interest - and unless the data subject has explicitly refused any disclosure, then the authorisation to use personal data may be given by the body or bodies designated by domestic law and competent in the area of personal data. The drafters of the recommendation agreed that such authorisation should, however, not be given globally, but case by case; moreover, the medical data should be used only for the medical research project defined by that body, and not for another project of the same nature (sub-paragraph c).

204. The authorisation, by the designated body, of communication of medical data for the purposes of a medical research project also depends on other factors implicit in the spirit of the recommendation in the present principle, or explicitly set out in other principles:

a. the existence of alternative methods for the research envisaged;

b. the relevance of an important public interest of the aim of the research, for example in the field of epidemiology, of drug control or of the clinical evaluation of medicines;

c. the security measures envisaged to protect privacy;

d. the necessity of interfering in the privacy of the data subject.

205. Furthermore, the drafters of the recommendation specified that opposition by the data subject need not necessarily intervene before communication of his/her medical data; he/she could also appeal against the authorisation given by the body concerned, on condition nevertheless that such appeal does not jeopardise the whole research project. The form of this kind of appeal would depend on the system provided by domestic law (authority responsible for data protection, ethics committee, court, etc.).

206. The drafters of the recommendation agreed that under sub-paragraph c.ii it would not be necessary to make the reasonable efforts in all cases; the person in charge must, however, consider whether with reasonable efforts it would be practicable to contact all data subjects. If this seems possible, then the efforts must be made. Furthermore, it was understood that to seek the consent of the data subject for medical research would be an unreasonable demand for the research institute, and would rather be the responsibility of the person or body envisaging disclosure of medical data.

207. The expression “disclosure of data” in sub-paragraph c was translated into communication des données in the French version. Whilst accepting that this translation did not reflect in full the English expression, the drafters of the recommendation agreed that the intended meaning of this principle was to subject, in the conditions described, not only any use, but also any transmission of medical data for medical research, to prior authorisation.

208. Finally, medical research may be based on personal data, without the data subject’s consent, if the research is provided for by law (not necessarily “explicitly authorised”) and constitutes a necessary measure for reasons of public health, including therapeutic research (sub-paragraph d). Because of the stricter protection of medical data required by Article 6 of the convention, sub-paragraph d, in allowing such exceptions, is less flexible than Article 9 of the convention.

209. As in paragraph 75 above, the drafters of the recommendation noted that under “law”, in sub-paragraph d, should be understood any mandatory ruling, whether general or subsidiary legislation, for example a ministerial decree, as long as the ruling is based on domestic law and is sufficiently accessible and foreseeable (see the case-law of the European Court of Human Rights).

210. Principle 12.3 recognises that medical doctors and medical bodies entitled to carry out their own research should be allowed to use, for their own research, the medical data which they have collected themselves, if the data subjects are aware of such use and have not objected, that is, they had been informed that one of the purposes of the collection would be medical research. These complementary provisions may in particular consist of the consent of the data subject or of permission given under domestic law or by a controlling body for public health reasons.

211. Medical research using personal data may raise problems connected with data protection, which are addressed in this recommendation, but also incidental questions of an ethical and scientific nature, such as:

a. the need for research involving personal data;

b. the suitability of the data to be collected for a particular research project;

c. the exhaustive nature of the research project;

d. the processing of the data of the unborn and deceased;

e. the information of the patient and his/her family;

f. the ways and means of collecting the data;

g. the communication of the research findings.

212. Depending on domestic law, these questions may have to be solved, preferably in advance, by one or more specific bodies designated by law and responsible for the questions within their sphere of competence. The drafters of the recommendation considered that it would be outside the scope of the recommendation to address such ethical and scientific questions raised by medical research, or to designate the bodies responsible for solving such questions. They referred to national legislation, which in the case of various bodies should distribute responsibilities and ensure co-ordination.

Principle 12.4 requires therefore merely that any such ethical and scientific questions be examined, apart from the data protection point of view, also in the light of other relevant instruments in the field of ethics or science.

213. By “exhaustive nature of the research project” in sub-paragraph c of the preceding paragraph, the drafters of the recommendation had in mind a project requiring the collection of medical data concerning all persons affected by such research, with or without their consent. The effectiveness of certain types of epidemiological research in fact depends on the recording of data concerning all the patients infected.

214. The general principle of purpose specification applies in particular to the processing of personal data for medical research: such data collected, processed or disclosed for one specific project should not be used for another project, or for purposes other than those for which the consent or the authorisation has been given under Principle 12.2. If the second research project, for which the data were not collected, or for which consent or authorisation was not given, is substantially different from the first project, then the whole procedure defined in Chapter 12 should be followed again.

215. Although it may seem obvious that the possibility to use personal data in medical research does not imply that the results of the research may be published in a form which enables identification of the data subjects, the drafters of the recommendation thought it wise, because of the sensitive nature of medical data, to emphasise this requirement in Principle 12.5. In some member states, publication of medical data is, however, prohibited, even if the data subject has consented.

–––

(1) Hereafter referred to as “the convention”.

(2) Resolution (73) 22 on the protection of the privacy of individuals vis-à-vis electronic data banks in the private sector; Resolution (74) 29 on the protection of the privacy of individuals vis-à-vis electronic data banks in the public sector.

(3) Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (Strasbourg, 28 January 1981, ETS No. 108). At the time of publication of this explanatory memorandum, seventeen states had ratified the convention: Austria, Belgium, Denmark, Finland, France, Germany, Greece, Iceland, Ireland, Luxembourg, Netherlands, Norway, Portugal, Slovenia, Spain, Sweden and United Kingdom.

 

Exposé des motifs recommandation (97) 5 relative a la protection des données médicales

(Adoptée par le Comité des Ministres de 13 février 1997, lors de la 584e réunion des délégués des ministres)

Introduction

1. L’impact de la technologie de l’informatique sur divers aspects de la vie quotidienne des personnes, notamment sur leur vie privée, a depuis longtemps retenu l’attention du Conseil de l’Europe, organisation intergouvernementale ayant à son actif l’élaboration du premier instrument juridique mondial contraignant dans le domaine de la protection des données - la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 (STE no 108)1. En partant des contextes spécifiques de traitement des données, le Conseil de l’Europe a fait appel à un comité d’experts qui a établi des principes et lignes directrices détaillés sur la protection de la vie privée, fondés sur les dispositions de la convention mais adaptés concrètement à ces contextes.

2. Ces principes et lignes directrices ont donné naissance à des recommandations adoptées par le Comité des Ministres et adressées aux gouvernements des Etats membres, les invitant à tenir compte des solutions proposées lorsqu’ils traitent des questions de protection des données couvertes par ces recommandations.

3. Neuf initiatives de ce genre ont, jusqu’à présent, été prises dans le cadre de ce que l’on appelle une approche sectorielle à la protection des données:

- la Recommandation (81) 1 relative à la réglementation applicable aux banques de données médicales automatisées (23 janvier 1981);

- la Recommandation (83) 10 relative à la protection des données à caractère personnel utilisées à des fins de recherche scientifique et de statistiques (23 septembre 1983);

- la Recommandation (85) 20 relative à la protection des données à caractère personnel utilisées à des fins de marketing direct (25 octobre 1985);

- la Recommandation (86) 1 relative à la protection des données à caractère personnel utilisées à des fins de sécurité sociale (23 janvier 1986);

- la Recommandation (87) 15 visant à réglementer l’utilisation de données à caractère personnel dans le secteur de la police (17 septembre 1987);

- la Recommandation (89) 2 sur la protection des données à caractère personnel utilisées à des fins d’emploi (18 janvier 1989);

- la Recommandation (90) 19 sur la protection des données à caractère personnel utilisées à des fins de paiement et autres opérations connexes (13 septembre 1990);

- la Recommandation (91) 10 sur la communication à des tierces personnes de données à caractère personnel détenues par des organismes publics (9 septembre 1991);

- la Recommandation (95) 4 sur la protection des données à caractère personnel dans le domaine des services de télécommunication, eu égard notamment aux services téléphoniques (7 février 1995).

Commentaires d’ordre général sur la recommandation

4. L’informatique médicale sert l’intérêt à la fois de l’individu et de la collectivité.

Tout d’abord, l’utilisation de l’ordinateur contribue à une meilleure prestation des soins médicaux en automatisant les techniques, en soulageant la mémoire du médecin et en facilitant l’établissement du dossier médical. L’informatique médicale répond notamment aux nouvelles exigences de la spécialisation et du travail en équipe, en permettant l’accès rapide et sélectif aux informations concernant le patient et son traitement, et en assurant ainsi la continuité des soins.

5. Le traitement automatisé de données médicales constitue également un apport considérable à la gestion hospitalière et peut assurer ainsi une économie dans les dépenses de santé. Les applications en sont multiples: enregistrement d’admissions, transferts et sorties de malades, fichiers d’activités diagnostiques et thérapeutiques, de médication et d’analyses de laboratoire, comptabilité, facturation, etc.

Enfin, l’informatique médicale est devenue un instrument indispensable de recherche scientifique, d’une politique de dépistage précoce et systématique, et de prévention de certaines maladies.

6. Les données relatives à la santé des individus figurent donc dans de nombreux dossiers qui peuvent être enregistrés sur ordinateur. Les détenteurs de ces dossiers sont multiples: médecin traitant, médecin hospitalier, médecin scolaire, médecin du travail, médecin d’une compagnie d’assurances, administrateur d’hôpital, caisse de sécurité sociale, etc.

Le plus souvent, l’enregistrement des données relatives à la santé intervient dans le cadre de la relation médecin-malade. Il s’agit du dossier médical qui servira à établir le diagnostic, et à surveiller et traiter le malade. Dans le cadre de cette relation de confiance librement choisie par le patient, les informations sont recueillies avec le consentement du malade par le médecin ou un membre de l’équipe médicale qui est tenu d’en sauvegarder le secret en vertu des règles de déontologie professionnelle.

En outre, des fichiers de santé peuvent être établis en dehors du contexte de la relation médecin-malade. Ils peuvent comporter des données sur des personnes bien portantes. Il arrive que l’enregistrement de telles informations soit imposé par une tierce personne, parfois sans le consentement explicite de la personne concernée.

7. La qualité et l’intégrité des informations revêtent une importance considérable dans le domaine de la santé. A une époque de mobilité croissante des personnes, l’échange d’informations exactes et pertinentes est une nécessité pour la sécurité de l’individu. Par ailleurs, le développement de la science médicale s’effectue grâce à un mouvement transfrontière de données médicales et à la création de systèmes d’information spécialisés à travers des distances géographiques considérables (tels que l’organisation Eurotransplant pour les greffes d’organes humains).

8. Les exigences auxquelles les systèmes informatiques médicaux doivent satisfaire sont souvent contradictoires. En effet, les renseignements doivent être mis rapidement à la disposition des utilisateurs dûment autorisés, tout en restant inaccessibles aux autres. L’obligation de respecter la vie privée des malades impose certaines restrictions à l’enregistrement et à la diffusion de données médicales, tandis que le droit à la santé de chaque individu veut que chacun puisse profiter des progrès de la science médicale réalisés grâce à l’utilisation intensive de données médicales.

9. Certains éléments des dossiers médicaux, lorsqu’ils sont utilisés hors de la relation médecin-malade, peuvent nuire au patient. Les données médicales font partie de la sphère la plus intime des personnes. La divulgation non autorisée des données médicales à caractère personnel peut donc être à l’origine de différentes sortes de discrimination, et même de la violation de droits fondamentaux.

10. Compte tenu de ces problèmes, il s’est révélé hautement souhaitable que le fonctionnement de tout fichier de données médicales automatisé soit subordonné à un règlement spécifique dont l’objectif général doit être d’assurer que l’utilisation des données médicales se fera non seulement de façon à fournir les meilleurs soins et services médicaux, mais aussi de façon à respecter la vie privée et la dignité des personnes concernées.

11. Bien que l’adoption d’un tel règlement relève de la compétence de la personne ou de l’organe en charge du fichier des données (direction d’un hôpital, faculté de médecine, etc.), il importe que les règlements établis suivent des modèles communs et s’insèrent dans le cadre général de la protection des données.

12. Il est apparu souhaitable que le cadre pour ces règlements soit de dimension européenne, et cela pour deux raisons.

Tout d’abord un tel cadre européen répondra le mieux à la mobilité internationale des personnes et aux échanges internationaux dans le domaine médical.

Ensuite, les législations nationales en matière de protection des données - y compris la protection des données médicales - font l’objet d’une harmonisation au niveau européen, sur la base de deux résolutions du Comité des Ministres du Conseil de l’Europe; l’une adoptée en 1973 a énoncé les principes de protection des données pour le secteur privé tandis que l’autre, adoptée un an plus tard, a établi les principes en la matière pour le secteur public2. En outre, en septembre 1980, le Comité des Ministres a adopté une Convention pour la protection des données3 qui a été ouverte à la signature le 28 janvier 1981 et qui est entrée en vigueur le 1er octobre 1985. L’Article 6 de cette convention prévoit des garanties spéciales pour les données à caractère personnel sensibles, y compris spécifiquement les informations relatives à la santé.

13. En 1990, le Groupe de projet du Conseil de l’Europe sur la protection des données a estimé que la Recommandation (81) 1 relative à la réglementation applicable aux banques de données médicales et automatisées, dont l’élaboration avait été commencée en 1976, n’était plus adaptée à l’évolution rapide de la science médicale d’une part, ni de la technologie d’autre part.

Par ailleurs, depuis l’adoption de cette recommandation, la convention avait été signée et mise en œuvre, et diverses autres recommandations sectorielles avaient été élaborées. Il a donc été convenu de soumettre la Recommandation (81) 1 à une révision.

14. Il a incombé à un groupe de travail du Groupe de projet sur la protection des données, constitué à cette fin, d’étudier les problèmes actuels soulevés par la protection des données dans le secteur médical. Sous la présidence de M. Capcarrere (France), ce groupe de travail s’est réuni à sept reprises entre février 1990 et juillet 1992 pour “examiner les problèmes de protection des données médicales, y compris les données génétiques et les données concernant les maladies contagieuses ou incurables”.

15. En suivant l’approche adoptée pour l’élaboration des recommandations sectorielles précédentes, les experts ont adapté les règles contenues dans la convention pour les appliquer tout particulièrement à la protection des données dans le domaine médical.

16. Partant du principe énoncé à l’article 6 de la convention selon lequel les “données de santé” font partie des catégories particulières de données, les experts ont estimé nécessaire que la collecte et le traitement de ces données soient entourés de garanties et de sauvegardes appropriées pour les personnes concernées.

17. La définition des garanties appropriées a ainsi constitué l’essentiel des travaux du groupe de travail qui ont porté sur l’information de la personne concernée préalable à la collecte, sur l’obtention de son consentement exprès et éclairé et sur le cas particulier de la recherche médicale.

18. Le projet émanant du groupe de travail a été examiné par le Groupe de projet sur la protection des données en septembre 1992; il a été ensuite révisé par le bureau du groupe de projet en novembre 1992 et en janvier, mars et septembre 1993. Le groupe de projet, présidé par M. Chalazonitis (Grèce), a réexaminé le projet en mai et octobre 1993.

19. En mars 1994, le Comité directeur pour la bioéthique (CDBI) ainsi que le Comité européen de la santé (CDSP) ont donné leur avis sur le projet de recommandation.

20. Ces avis ont été examinés par le Bureau lors d’une réunion du 22 au 25 mars 1994 et des propositions de modification du texte ont été faites.

21. Ces propositions ont été examinées par le groupe de projet, sous la présidence de M. Walter (Suisse), en juin et octobre 1994.

22. Le texte révisé du projet de recommandation a été approuvé par le groupe de projet le 14 octobre 1994, ainsi que le présent exposé des motifs.

23. Le 5 décembre 1994, le projet de recommandation et l’exposé des motifs ont été approuvés par le Comité européen de coopération juridique et présentés au Comité des Ministres.

24. Le Comité des Ministres a transmis le projet au Comité européen de la santé pour un deuxième avis, qui a été formulé le 6 juillet 1995.

25. A la lumière des observations faites par le Comité européen de la santé d’une part, et, d’autre part, le représentant de la Commission européenne, au nom de la Communauté européenne, le groupe de projet a révisé le projet lors de ses 30e et 31e réunions (novembre 1995 et juin 1996).

26. Le 7 juin 1996, le projet de recommandation ainsi révisé a été approuvé par le Groupe de projet sur la protection des données, tout comme l’exposé des motifs révisé.

27. Le 29 novembre 1996, les deux textes ont été approuvés par le Comité européen de coopération juridique.

28. Le 13 février 1997, la Recommandation (97) 5 sur la protection des données médicales a été adoptée par le Comité des Ministres.

Commentaires détaillés sur la recommandation

Préambule

29. Dans le préambule sont énoncées les considérations qui ont amené le Comité des Ministres à adresser la recommandation aux gouvernements des Etats membres1.

30. L’une de ces considérations est que, comparées à d’autres catégories de données à caractère personnel, les données médicales sont aussi traitées automatiquement par des systèmes d’information intégrés à certains appareils médicaux ainsi qu’en dehors du secteur de soins de santé (par exemple sécurité sociale, assurances).

31. En vue de cette large utilisation des données médicales et en raison du fait que, en vertu de l’article 6 de la convention, les données médicales ne peuvent faire l’objet de traitement automatisé que si le droit interne prévoit des garanties appropriées, il est fait référence à cet égard aux droits et libertés fondamentales de l’individu, et notamment au droit à la vie privée.

32. Par ailleurs, le Comité des Ministres était conscient que la Recommandation (81) 1 relative à la réglementation applicable aux banques de données médicales automatisées, depuis son adoption il y a plus de quinze ans, avait été dépassée par l’évolution rapide, tant en matière de science médicale qu’en informatique, et était devenue obsolète.

Dispositif de la recommandation

33. Le Comité des Ministres recommande d’abord aux gouvernements des Etats membres de prendre des mesures pour que les principes contenus dans l’annexe soient reflétés dans leur droit et leur pratique. Le libellé de cette recommandation est flexible parce qu’elle s’adresse également aux Etats membres non encore Parties à la convention et qui, par conséquent, ne sont pas tenus de prendre, dans leur droit interne, les mesures nécessaires pour donner effet aux principes de base de protection des données.

34. Ensuite, les gouvernements sont encouragés à diffuser largement l’annexe à la recommandation à toutes les personnes qui, de par leur profession, sont appelées à collecter et/ou à traiter des données médicales.

35. Enfin, le Comité des Ministres abroge la précédente recommandation relative à la réglementation applicable aux banques de données médicales automatisées. Il est évident que par la diffusion du présent texte, la Recommandation (81) 1 est révoquée.

Annexe à la recommandation

1. Définitions

36. La définition des “données à caractère personnel”, qui est conforme à la définition de la convention telle qu’interprétée dans le rapport explicatif de cette convention, a déjà été utilisée dans nombre de recommandations sectorielles adoptées par le Comité des Ministres dans le domaine de la protection des données.

Cependant, par rapport à certaines recommandations précédentes, les rédacteurs de la recommandation ont considéré qu’au vu du développement de la technologie informatique, l’élément “coûts” n’est plus un critère pertinent pour déterminer si un individu est ou non identifiable. La définition a également été modifiée pour préciser le moment où l’on peut considérer les données comme étant anonymes.

37. En l’absence de définition reconnue sur le plan international, les rédacteurs de la recommandation ont opté pour une définition des “données médicales” aussi large que possible, estimant, d’une part, que la notion de “dossiers médicaux”, retenue dans la recommandation précédente, était trop limitative dans le contexte du traitement des données électroniques et, d’autre part, qu’il fallait dépasser la relation discrète entre le médecin et son patient pour atteindre toute personne susceptible de détenir des données médicales. Il a été entendu que les données médicales s’appliquent tant à la santé passée, actuelle ou future de la personne concernée qu’à sa santé physique et à sa santé mentale.

38. Par ailleurs, les rédacteurs de la recommandation sont convenus que, au sens de la recommandation, les “données médicales” comprennent également l’information - à l’exception des éléments à caractère public - qui permet de se faire aisément une idée de la situation médicale d’une personne, par exemple à des fins d’assurance, comme notamment le comportement de cette personne, sa vie sexuelle, sa manière de vivre, sa consommation de drogue, l’abus d’alcool et de tabac. C’est dans cet objectif que les termes “manifeste et étroit”, c’est-à-dire l’incidence certaine et directe sur la santé, ont été inclus dans la définition des données médicales.

39. Dans la mesure où les prélèvements de substances d’origine humaine, les greffes et transplantations de tissus ou d’organes donnent lieu à la constitution d’un dossier médical, les problèmes de la protection de l’anonymat entre donneur et receveur sont couverts par la recommandation puisqu’elle s’applique également à la santé passée d’un individu. Une telle protection de l’anonymat entre donneur et receveur est prévue de façon générale par la Résolution (78) 29 du Comité des Ministres du Conseil de l’Europe sur l’harmonisation des législations des Etats membres relatives aux prélèvements, greffes et transplantations de substances d’origine humaine.

40. Lorsque les données médicales figurent dans des fichiers non médicaux avec d’autres informations, par exemple dans des fichiers d’assurance, d’emploi, ou de sécurité sociale, les mesures de protection dans cette recommandation s’appliquent également aux données médicales contenues dans de tels fichiers. Outre les données médicales qui y sont détenues, de tels fichiers peuvent soulever d’importants problèmes vis-à-vis des libertés individuelles; de tels problèmes ont été abordés pour le secteur de l’emploi dans la Recommandation (89) 2, et pour la sécurité sociale dans la Recommandation (86) 1.

41. Aux fins de la recommandation, les rédacteurs ont considéré que la plupart des principes devraient s’appliquer tant aux données médicales qu’aux données génétiques. Cependant, étant donné que certains principes de la recommandation s’appliquent exclusivement aux données génétiques et en l’absence de définition de “données génétiques” acceptée de manière générale au moment de la rédaction, il sont convenus de la définition qui figure au chapitre 1. Il a été entendu que cette définition n’inclut pas les résultats d’une analyse du sang, des tissus, des cheveux, du sperme, etc., effectuée à l’aide de moyens autres que la technologie de l’ADN. On peut cependant obtenir des données génétiques à partir du sang, des tissus, des cheveux, du sperme, etc., s’ils sont analysés.

42. Les informations génétiques peuvent résulter de l’observation du phénotype, de l’étude des antécédents familiaux et d’analyses de laboratoire, y compris l’examen des gènes étroitement liés aux gènes provoquant une maladie ou de ces gènes eux-mêmes, par la technologie de l’ADN. On peut procéder à de tels examens afin de diagnostiquer un état pathologique, d’apprécier la possibilité de maladies futures chez des gens encore sains, ou d’apprécier le risque pour un individu ou un couple d’avoir des enfants atteints de troubles génétiques.

43. Les gènes déterminent de nombreuses caractéristiques de la personne; les données génétiques ne sont médicales que si elles concernent la santé ou la maladie d’un individu ou de sa famille.

44. Toutefois, répondant au mandat qui leur avait été donné, les rédacteurs de la recommandation ont libellé la définition de façon qu’elle couvre également les données génétiques qui ne sont pas considérées comme des données médicales au sens de la recommandation.

45. Les données génétiques sont recueillies et mises en mémoire aux fins de prévention, de diagnostic, de traitement, de consultation génétique, d’évaluation des risques, ainsi que de recherche. Les troubles génétiques, héréditaires par leur caractère même, ont des incidences pour tous les individus consanguins, vivants et à naître.

46. Une distinction peut être faite entre les catégories suivantes:

47. Les données relatives au phénotype résultent de l’observation chez un individu de caractéristiques normales, symptômes ou signes hérités. Cette observation comprend l’examen clinique par un médecin ou un médecin généticien, ainsi que les résultats des analyses de laboratoire permettant de détecter des caractéristiques héréditaires ou génétiquement déterminées. Les données relatives au phénotype et concernant une maladie font partie du dossier médical et peuvent également être stockées dans divers fichiers, par exemple ceux qui ont trait au permis de conduire ou à la recherche.

48. Ces éléments des dossiers médiaux ou des fichiers sont considérés comme des données génétiques uniquement s’ils ont trait à des caractéristiques déterminées ou influencées par les gènes.

49. Les données relatives aux antécédents médicaux sont des données génétiques lorsqu’elles indiquent qu’un individu présente des symptômes ou signes pouvant indiquer la présence de gènes mutants.

50. Les données familiales ont trait aux parents, oncles, tantes, grands-parents, frères, sœurs, enfants d’un individu, ainsi qu’aux membres plus éloignés de sa famille. Ce sont des données génétiques uniquement si l’on sait qu’une maladie ou caractéristique de l’individu en question est déterminée ou influencée par les gènes, ou si une caractéristique ou maladie apparaît dans la famille de telle sorte que l’on puisse la considérer comme héréditaire ou influencée par les gènes, alors même que l’on n’en avait pas découvert précédemment la nature génétique.

51. Les données familiales, qui portent également sur les mariages entre consanguins et sur le nombre d’enfants, de morts-nés et d’avortements, sont essentielles à l’analyse génétique des caractéristiques normales ainsi que des maladies. Ces données figurent au dossier médical, dans les fichiers à utiliser à l’avenir dans le cadre de consultations ou de diagnostics génétiques, y compris à l’usage des générations futures, ou dans des fichiers de recherche.

52. Les données sur le génotype comprennent les informations sur les gènes spécifiques se trouvant à des loci donnés chez des individus et chez les membres de leur famille. Ces données peuvent résulter de l’observation du phénotype d’une personne et des membres de sa famille et, aujourd’hui, d’analyses de l’ADN.

53. Les données génotypiques peuvent indiquer qu’une personne est porteur sain hétérozygote d’un gène récessif qui causerait à l’état homozygote une maladie grave, ou (chez un individu sain de sexe féminin) d’un gène lié au chromosome X qui pourrait entraîner une maladie chez un individu de sexe masculin (doté d’un seul chromosome X).

54. Les données sur le génotype peuvent avoir trait soit à des caractéristiques normales soit à des maladies héréditaires, soit présenter un intérêt quand la prédisposition génétique est importante (ce qui est le cas pour plusieurs troubles très répandus).

55. Les données relatives au génotype et concernant des maladies figurent au dossier médical, dans des fichiers génétiques à usage futur dans le cadre de consultation ou de diagnostics génétiques, ou dans des fichiers de recherche.

56. Les données sur le génotype peuvent également être insérées dans les fichiers de police si elles ont été recueillies en rapport avec un délit. Elles peuvent être enregistrées également dans les institutions de médecine légale. Il arrive aussi que l’enregistrement concerne des données du génotype recueillies aux fins de recherche de paternité. Dans ce dernier cas, les données peuvent être mises en mémoire également par les services officiels chargés de protéger les intérêts des enfants dans les procédures en recherche de paternité.

57. Des informations génétiques pouvant être considérées comme “données génétiques” se trouvent également dans les fichiers sur l’adoption, les jumeaux, dans les ouvrages de généalogie ou les biographies, et dans bien d’autres documents. Les rédacteurs de la recommandation ont donc accordé une grande importance à ce que l’on entend par l’expression “données génétiques” dans la recommandation.

58. La collecte et le traitement des données génétiques impliquent l’enregistrement de données concernant des tiers. Ces tiers peuvent être des membres de la lignée génétique de la personne concernée, des collatéraux ou des membres de sa famille sociale. Les rédacteurs sont convenus de donner un statut intermédiaire aux membres appartenant à la lignée génétique de la personne concernée, afin de les différencier des tiers au sens strict du terme et de leur accorder une protection juridique hybride, et ont formulé la définition de la “lignée génétique” en conséquence.

2. Champ d’application

59. Il est rappelé que la convention, dans son article 6, dispose que les données à caractère personnel relatives à la santé ne peuvent être traitées automatiquement à moins que le droit interne ne prévoie des garanties appropriées. Selon la convention, il appartient donc aux Etats contractants de s’assurer que des garanties appropriées pour la protection des individus soient accordées dans les cas où des données relatives à la santé sont traitées dans des fichiers automatisés non couverts par la recommandation.

60. A l’instar de la convention qui ne fait pas de distinction entre les secteurs public et privé, la recommandation s’applique aux fichiers de données médicales dans les deux secteurs étant donné qu’ils doivent répondre aux mêmes exigences et qu’il y a de fréquents échanges de données entre les deux secteurs.

61. La recommandation se réfère, à plusieurs reprises, aux “professionnels des soins de santé”. Par cette expression les rédacteurs de la recommandation ont visé toutes les personnes qui, dans l’exercice de leur profession, apportent des soins médicaux à d’autres personnes.

Eu égard aux différentes catégories de professionnels des soins de santé, les rédacteurs de la recommandation ont estimé qu’il serait difficile de donner au principe 2.1 une description précise et exhaustive du personnel médical et paramédical appelé à collecter ou traiter des données médicales. Dans certains Etats, par exemple, les assistants sociaux n’entreraient pas dans la catégorie des professionnels des soins de santé tandis que dans d’autres pays ils peuvent en faire partie. Pour cette raison, les rédacteurs ont été d’avis que la recommandation devrait s’appliquer à toute personne ou organisme qui, régulièrement ou occasionnellement, traite automatiquement des données médicales, que ce soit pour un motif légitime ou non.

Dans la pratique, cela signifie que les principes sont applicables à la collecte ou au traitement de données médicales à des fins de traitement médical, de constatation de l’état de santé ou d’aptitude d’une personne (par exemple à des fins d’emploi, de scolarité, de service national), de prévention, de conseil en matière de santé, de recherche, d’assurances, ainsi qu’aux fins d’identification d’une personne.

62. En conséquence, étant donné que l’article 6 de la convention exige des garanties appropriées pour le traitement automatisé des données médicales, les rédacteurs de la recommandation sont convenus que les principes pertinents devraient également s’appliquer aux situations dans lesquelles les données médicales feraient l’objet de traitement à des fins de recherche (Recommandation (83) 10), dans le secteur de la sécurité sociale (Recommandation (86) 1) et de l’emploi (Recommandation (89) 2).

63. Toutefois, les rédacteurs de la recommandation ont été conscients du fait que, dans certains Etats membres, le droit interne prévoit la collecte et le traitement des données médicales également dans certains secteurs autres que celui de la santé, et prescrit des garanties appropriées à cette fin. Par conséquent, le principe 2.1 permet à de tels Etats de ne pas appliquer la recommandation à la collecte et au traitement des données médicales dans les secteurs non médicaux, pour lesquels la législation nationale offre d’autres garanties appropriées pour la protection de la vie privée, conformément à l’article 6 de la convention.

64. Conformément à la définition de “traitement automatisé” figurant à l’article 2 de la convention, le traitement automatisé, au sens de la recommandation, comprend l’enregistrement des données, l’application à ces données d’operations logiques et/ou arithmétiques, leur modification, conservation, effacement, extraction ou diffusion. Toutefois, comme indiqué au paragraphe 30 ci-dessus, le traitement automatisé des données médicales pourrait donner lieu à l’utilisation de systèmes d’information autres que des ordinateurs.

65. A l’instar de l’article 3, paragraphe 2.c de la convention, le principe 2.2 de la recommandation permet à tout Etat membre d’appliquer les dispositions aux données médicales ne faisant pas l’objet d’un traitement automatisé.

En revanche, les Etats ne devraient pas permettre que des données médicales soient traitées de façon non automatisée uniquement dans le but de les soustraire du champ d’application de la recommandation.

3. Respect de la vie privée

66. Conformément à l’article 6 de la convention, la recommandation reconnaît que les données médicales exigent une meilleure protection que d’autres données à caractère personnel non sensibles. C’est pour cela que le principe 3.1 exige, ce qui ne figure pas dans les autres recommandations sectorielles, que pour la collecte et le traitement des données médicales non seulement le respect à la vie privée soit garanti, mais également les autres droits et libertés fondamentales qui peuvent être menacés, par exemple lors de la collecte des données médicales. Comme il a été indiqué au paragraphe 64 ci-dessus, l’expression “traitement” comprend également la conservation des données.

67. Pour ces mêmes raisons, le principe 3.2 rappelle les exigences contenues dans l’article 6 de la convention pour que la loi prévoie des garanties appropriées en ce qui concerne les différentes phases de la collecte et du traitement des données médicales.

Il convient de noter que le principe 3.2 exige de telles garanties également pour la collecte des données médicales. Quant au traitement de telles données, il est rappelé qu’aux termes de la définition (voir paragraphe 64 ci-dessus) ces garanties doivent donc être prévues lors de l’enregistrement de données médicales, et de leurs modification, conservation, extraction, diffusion, etc.

68. Le principe 3.2 relève comme l’une de ces garanties le fait qu’en principe seuls les professionnels des soins de santé, soumis aux règles de confidentialité, devraient collecter et traiter des données médicales, ou, lorsque cela est nécessaire, des personnes agissant au nom de professionnels des soins de santé, dans la mesure où ces personnes sont sujettes aux mêmes règles.

69. Comme cela a été observé au paragraphe 61 ci-dessus, les rédacteurs de la recommandation ont cependant reconnu que dans certains Etats membres d’autres professionnels, n’étant pas directement responsables des soins médicaux, peuvent collecter et traiter des données médicales. Le troisième alinéa du principe 3.2 le permet seulement si la catégorie de professionnels est soumise à des règles de confidentialité comparables à celles auxquelles sont soumis les professionnels des soins de santé ou si le droit interne prévoit des garanties appropriées d’efficacité égale à ces règles de confidentialité, c’est à dire d’une efficacité permettant de garantir le respect de la vie privée de la personne concernée. Le principe 3.2 est donc complémentaire au principe 10.4 de la recommandation (89) 2 sur la protection des données à caractère personnel utilisées à des fins d’emploi, qui réclame que les données de santé couvertes par le secret médical ne soient enregistrées que par le personnel soumis aux règles sur le secret médical.

4. Collecte et traitement de données médicales

70. Une fois de plus, prenant en compte la nature sensible des données médicales, le principe 4.1 rappelle les dispositions de l’article 5 de la convention: la collecte et le traitement doivent être loyaux et licites et effectués uniquement pour des finalités déterminées. Ces exigences se retrouvent dans la suite du chapitre 4.

71. Le principe de collecte loyale est rendu plus explicite au principe 4.2: les données médicales doivent, dans des conditions normales, être obtenues auprès de la personne concernée elle-même. Ce principe concerne donc la “divulgation” de ses données par la personne concernée elle-même, et non pas la “communication” des données médicales par une tierce personne (par exemple le médecin).

72. Il est évident que cette règle ne peut pas toujours s’appliquer: dans ces cas, d’autres sources d’information ne peuvent être consultées que si cela est nécessaire pour atteindre la finalité pour laquelle les données ont été traitées (un traitement médical, par exemple) ou si la personne concernée ne peut pas fournir elle-même les données. Mais dans tous les cas, la collecte de données médicales doit être conforme aux dispositions du chapitre 4 (voir paragraphes 73 à 104 ci-dessous), du chapitre 6 (consentement, paragraphes 129 à 142 ci-dessous) et du chapitre 7 (communication, paragraphes 143 à 152 ci-dessous).

73. Après les dispositions indiquant comment les données médicales devraient être collectées (principe 4.1) et auprès de qui (principe 4.2), le principe 4.3 prévoit quand les données médicales peuvent être collectées et traitées. Elles peuvent être collectées si la loi le prévoit, s’il existe une obligation contractuelle qui l’impose, si cela est nécessaire à la constatation d’un droit en justice ou lorsque la personne concernée a donné son consentement. Le principe 4.3 ne constitue pas une dérogation au principe 3.2, mais pose des conditions pour la légitimité de la collecte et du traitement.

74. Les données médicales peuvent également être collectées auprès de la personne concernée ou auprès d’autres sources si cela est prévu par la loi pour l’une des finalités énoncées dans le principe 4.3.a; la santé publique, la prévention d’un danger concret ou la répression d’une infraction pénale déterminée, ou un autre intérêt public important.

Lors de la collecte et du traitement des données médicales, les garanties appropriées telles que décrites au chapitre 3 doivent être prévues par le droit interne.

Par ailleurs, les données médicales peuvent être collectées et traitées dans la mesure où la loi l’autorise pour les finalités énoncées dans le principe 4.3.b, à des fins médicales préventives, diagnostiques ou thérapeutiques, ou aux fins de sauvegarde des intérêts vitaux de la personne concernée, ou aux fins de respecter des obligations contractuelles spécifiques, ou en vue de la constatation, l’exercice ou la défense d’un droit en justice. Conformément au principe 4.3.c, les données médicales peuvent également être collectées et traitées si la personne concernée à donné son consentement pour une ou plusieurs finalité(s), pour autant que le droit interne ne s’y oppose pas.

La collecte et le traitement de données médicales à des fins de constatation, d’exercice ou de défense d’un droit en justice ne peuvent intervenir qu’en présence d’un cas concret, par exemple conflit entre un médecin et son patient au sujet d’un traitement légitimant le médecin à communiquer des données à son avocat pour le défendre lors de l’action en justice. Une collecte “en prévision de” n’est pas licite.

Lorsqu’une personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement, on est en présence d’une situation où les données médicales peuvent être collectées, traitées ou communiquées pour sauvegarder les intérêts vitaux de cette personne (principes 4.3.b.ii et 7.3.b.ii).

Lors de la collecte et du traitement de données médicales dans le cadre des obligations contractuelles (principes 4.3.b.iii et 7.3.b.iii), les Etats membres de l’Union européenne ne pourront, après la transposition de la directive communautaire dans leur législation nationale, faire usage de cette faculté que dans le contexte du droit de travail. Pour les autres Etats membres du Conseil de l’Europe, ces dispositions peuvent entrer en ligne de compte dans d’autres domaines, tels que le sport, la formation ou les assurances.

Les rédacteurs de la recommandation ont estimé que dans chacune de ces conditions les données médicales peuvent être collectées et traitées si la loi, y compris dans les pays de “common law”, dans la “common law” ou dans le droit statutaire, le prévoit explicitement. Si la loi prévoit la collecte sans offrir les garanties appropriées requises par l’article 6 de la convention, il s’agit en fait d’une dérogation selon l’article 9 de la convention et les conditions posées par cet article doivent être respectées; la collecte doit, par exemple, constituer une mesure nécessaire dans une société démocratique dans l’intérêt de la protection de sécurité de l’Etat, de la sûreté publique, des intérêts monétaires de l’Etat, ou de la répression des infractions pénales, ou de la protection de la personne concernée ou des droits et libertés d’autrui.

75. Aux fins de la recommandation, les rédacteurs ont estimé que l’expression “la loi” doit être comprise dans le sens qui lui est attribué dans la jurisprudence de la Cour européenne des Droits de l’Homme et notamment qu’il doit s’agir d’une norme précise, prévisible et accessible.

76. L’expression “si la loi le prévoit” couvre également le cas où la loi impose la collecte et le traitement. Si les données médicales peuvent être collectées et traitées lorsque cela découle d’une obligation de la loi (par exemple dans le domaine des assurances sociales pour l’obtention d’une pension d’invalidité, ou dans le domaine de la prévention d’épidémies), les rédacteurs de la recommandation se fient à la législation pour tenir compte des autres exigences de l’article 9 de la convention, c’est-à-dire que le traitement constitue une mesure nécessaire dans une société démocratique à la protection de la sécurité de l’Etat, à la sûreté publique, aux intérêts monétaires de l’Etat ou à la répression des infractions pénales, ou à la protection de la personne concernée et des droits et libertés d’autrui.

77. Les données médicales peuvent donc être collectées sans consentement, si la loi le prévoit, “aux fins” - c’est-à-dire dans l’intérêt - de la santé publique; cette finalité va dans le sens de la dérogation pour raison de sûreté publique de l’article 9 de la convention. Par ailleurs, il convient de remarquer que la gestion des services de santé est incluse dans l’expression “aux fins de la santé publique”.

78. Les rédacteurs de la recommandation sont convenus que les données médicales peuvent, de plus, être collectées sans consentement, si la loi le prévoit pour la prévention d’un danger concret ou la répression d’une infraction pénale déterminée. Plutôt que d’utiliser la terminologie de l’article 9 de la convention, ils ont préféré la rédaction de la Recommandation (87) 15 visant à réglementer l’utilisation de données à caractère personnel dans le secteur de la police. Le principe 2.1 de cette recommandation exclut une collecte illimitée et sans discrimination de données par la police. Il traduit l’approche qualitative et quantitative de l’article 5.c de la convention, d’après lequel les informations à caractère personnel doivent être adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées. L’article 9.a de la convention permettant une dérogation à ce principe dans le cas de “la répression des infractions pénales”, le principe 2.1 de la recommandation tente de fixer les limites de cette exception, en restreignant la collecte de données à caractère personnel à celles qui sont nécessaires pour prévenir un danger concret ou réprimer une infraction pénale spécifique, à moins que le droit interne n’attribue clairement à la police des pouvoirs plus larges pour rassembler des informations. Le terme “danger concret” doit être compris comme ne se limitant pas à une infraction ou à un auteur d’infraction particuliers, mais englobant tous les cas où il existe des présomptions suffisantes qu’une infraction pénale grave a été ou pourrait être commise, mais excluant des possibilités éventuelles non assorties de preuves. Par ailleurs, le traitement des données génétiques pour les besoins d’une procédure judiciaire ou d’une enquête pénale est régie par le principe 4.7 (voir paragraphe 95 ci-après).

79. A part la santé publique, un danger concret ou la répression d’une infraction pénale, il peut y avoir d’autres intérêts publics importants en jeu. Le principe 4.3.a.iii permet à la loi de prévoir la collecte et le traitement de données médicales pour protéger de tels intérêts.

80. Il se peut que la personne concernée ne soit pas en mesure de donner son consentement. Si la loi le prévoit, les données peuvent être collectées et traitées pour sauvegarder les intérêts vitaux de la personne concernée ou d’un tiers, c’est-à-dire pour protéger l’intégrité physique ou mentale de la personne concernée ou d’une autre personne, y compris, dans le cas des données génétiques, d’un membre de la lignée génétique de la personne concernée. Cela implique que les données médicales peuvent être collectées et traitées sans le consentement de la personne concernée, à des fins médicales préventives, ou à des fins diagnostiques ou thérapeutiques, à l’égard de la personne concernée elle-même, ou d’un membre de sa lignée génétique, voire d’une tierce personne, par exemple en vue de protéger un intérêt essentiel à la vie de la personne concernée.

81. Le principe 4.3 permet également de collecter et traiter les données médicales si celles-ci sont nécessaires au respect d’engagements en raison d’un contrat, à condition toutefois que le droit interne l’autorise. Les rédacteurs de la recommandation ont considéré que surtout dans le droit du travail une obligation contractuelle ou un droit contractuel devrait pouvoir donner lieu à une collecte ou un traitement de données médicales, étant donné que le consentement de la personne concernée a déjà été acquis au moment de la conclusion du contrat.

82. Le principe 4.3 tient également compte des actions en justice; les données médicales peuvent être collectées et traitées sans le consentement de la personne concernée, si la loi l’autorise, si un tel traitement ou une telle collecte est nécessaire à la constatation d’un droit un justice. Il est toutefois rappelé qu’en vertu du principe 4.7 le traitement des données génétiques pour les besoins d’une procédure judiciaire devrait faire l’objet d’une loi spécifique offrant des garanties appropriées.

83. En dehors de toute disposition ou obligation juridique, les données médicales peuvent également être collectées et traitées si la personne concernée - ou son représentant légal - y a consenti, à moins que le droit interne ne s’y oppose. Les rédacteurs de la recommandation ont été conscients du fait que, du point de vue de la protection des données médicales, le consentement de la personne concernée offre moins de garanties pour la sécurité des données que les obligations légales ou les dispositions de la loi qui, en vertu de l’article 6 de la convention, doivent être accompagnées de garanties appropriées. Au chapitre 6 de la recommandation, les conditions d’un tel consentement et les dérogations possibles sont élaborées plus amplement.

84. Les données médicales collectées par un professionnel des soins de santé à des fins médicales préventives ou à des fins diagnostiques ou thérapeutiques peuvent, après les soins médicaux proprement dits, également être nécessaires pour accomplir d’autres services dans l’intérêt du patient; par exemple la pharmacie devra lui fournir les médicaments indiqués, le service administratif de l’hôpital doit établir la facture, ou encore les services de sécurité sociale devront organiser le remboursement des frais encourus. Les rédacteurs de la recommandation ont estimé que la finalité du traitement par de tels “services de santé” (qui ne couvrent pas des compagnies d’assurances agissant sur une base contractuelle) est compatible avec la finalité de la collecte de ces données médicales. Par conséquent, le principe 4.4 permet le traitement des données médicales par ces services de santé, à condition que ce traitement soit réalisé dans l’intérêt du patient.

85. Un tel service de santé peut être géré par le professionnel des soins de santé qui a collecté les données médicales, ou par quelqu’un d’autre. Dans le dernier cas les données médicales nécessaires peuvent être communiquées par le professionnel des soins de santé conformément aux principes 7.2 et 7.3 (voir paragraphes 144 et 145 ci-après).

Enfant à naître

86. La protection des données médicales de l’enfant à naître, en vue de protéger sa vie privée après sa naissance, soulève des questions spécifiques, notamment de nature éthique, qui vont au-delà du champ d’application de la recommandation.

87. Lors de la rédaction des principes 4.5 et 4.6, le souci principal des rédacteurs de la recommandation n’était pas d’établir l’autorité parentale, mais plutôt de veiller à ce que les données médicales d’un enfant ne soient déjà “publiques” au moment de sa naissance.

En l’absence de règle juridique généralement acceptée qui déterminerait le moment où un enfant à naître peut être considéré comme une personne, les rédacteurs de la recommandation ont estimé que des mesures devraient être prises pour assurer la protection des données médicales collectées et traitées avant la naissance d’un enfant. C’est pourquoi l’enfant à naître devrait bénéficier d’une protection similaire à la protection des données médicales d’un enfant après sa naissance. A titre d’exemple, cet objectif peut être atteint en considérant des données de l’enfant à naître comme les données à caractère personnel de la mère. Cette exigence est confirmée au principe 4.5.

88. Suivant la tendance du droit de la famille dans les Etats membres, les rédacteurs de la recommandation ont conclu au principe 4.6 que, sauf si le droit interne en dispose autrement, les détenteurs des responsabilités parentales du futur enfant devraient pouvoir agir au nom de l’enfant à naître en tant que personne concernée.

Il a été entendu que lors de l’exercice des droits d’accès et de rectification relatifs aux données médicales de l’enfant à naître, les intérêts de la mère soient dûment pris en compte.

Données génétiques

89. Malgré la nature spécifique des données génétiques (voir les paragraphes 41 à 58 ci-dessus), les rédacteurs de la recommandation ont considéré que les conditions pour leurs collecte et traitement seraient les mêmes que pour la collecte et le traitement des données médicales, énumérées au principe 4.3.

90. A ce sujet, les rédacteurs de la recommandation étaient conscients du fait que la collecte et le traitement des données génétiques peuvent être nécessaires non seulement dans la mesure où il s’agit de la protection de la santé publique, mais également de la promotion de la santé publique étant donné que les analyses génétiques peuvent révéler des risques de santé pour les générations futures. Ils ont reconnu, toutefois, que cette possibilité de déroger ne devrait pas conduire à une prolifération de banques de données génétiques ou à une utilisation abusive des données génétiques.

91. Le principe 4.1, qui s’inspire de l’article 5 de la convention, implique que des données génétiques ne peuvent être traitées que pour des finalités compatibles avec les finalités pour lesquelles elles ont été collectées et dans les mêmes conditions. Les rédacteurs de la recommandation n’ont pas inclus l’exigence selon laquelle les données génétiques ne devraient pas être utilisées en vue de modifier artificiellement le patrimoine génétique des personnes concernées, ou en vue de clonage ou de sélection des individus, étant donné qu’une telle exigence semblerait être hors du champ d’application de la recommandation et, en tout cas, être couverte par le principe des finalités compatibles.

92. Les données génétiques collectées et traitées à des fins de prévention, de diagnostic, de traitement médical, ou de recherches scientifiques ne devraient être utilisées, en premier lieu, qu’à ces fins précises, ou pour permettre à la personne concernée de prendre une décision pour savoir si un traitement doit ou non être poursuivi; le même principe s’applique lorsque les données sont collectées en vue d’une procréation. Le principe 4.7 est une conséquence logique du principe général de la compatibilité des finalités; utiliser ou réutiliser de telles données à d’autres fins ne devrait pas être autorisé. Le principe 4.7 s’applique également lorsqu’une analyse génétique est effectuée sur une personne pour déterminer si elle peut procréer sans risques pour la santé des futurs enfants. A cet égard, le principe 4.7 ne vise pas à établir des normes éthiques sur la question de savoir si une procréation devrait être précédée ou non d’une analyse génétique; le principe exige simplement que si des données génétiques sont collectées à cette fin conformément au droit interne ou aux normes éthiques existantes, elles ne peuvent être utilisées que pour faciliter la prise de décision de la personne concernée.

93. En formulant le principe 4.7, les rédacteurs de la recommandation ont voué une attention particulière à l’utilisation des données génétiques pour la recherche scientifique; dans ce contexte ils ont confirmé que

de telles recherches seraient régies par le chapitre 12, “Recherche scientifique”. Il a été convenu que l’utilisation secondaire, pour la recherche scientifique, des données génétiques qui avaient été collectées à d’autres fins, ne serait pas incompatible avec les finalités initiales, tant que les conditions énumérées au chapitre 12 seraient respectées, notamment le principe 12.2 (voir les paragraphes 200-209 ci-dessous) et le principe 12.3 (paragraphe 209).

94. Le principe 4.7, qui s’applique aux recherches scientifiques en général, est suivi de deux principes qui visent plus spécifiquement des situations où des analyses génétiques peuvent être effectuées dans un but précis.

95. Bien que les analyses de l’acide désoxyribonucléique (ADN) dans le cadre du système de justice pénale soient réglementées par la Recommandation (92) 1, adoptée par le Comité des Ministres le 10 février 1992, les rédacteurs de la recommandation ont estimé utile d’inclure dans la recommandation une disposition sur la protection des données génétiques traitées à des fins d’enquêtes pénales, qui s’étend également à l’analyse de telles données pour les besoins de procédures judiciaires.

96. L’expression “procédure judiciaire” est employée différemment dans les Etats membres. Les rédacteurs de la recommandation ont souhaité que le principe 4.8 s’applique à toute procédure en justice, qu’elle soit entamée en vertu du droit civil ou du droit pénal, où l’instance judiciaire peut avoir recours à une analyse génétique d’une ou plusieurs personne(s).

97. En conséquence, le principe 4.8 exige une loi spécifique sur le traitement des données génétiques pour les procédures judiciaires et les enquêtes pénales. Par loi spécifique, il faut entendre soit une disposition spécifique de la loi sur la protection des données, soit une disposition spécifique d’une loi pénale, toutes deux étant relatives à l’utilisation des données génétiques à des fins d’enquête pénale. Cette exigence est une conséquence logique de l’article 6 de la convention qui impose que le droit interne prévoie des garanties appropriées pour le traitement de toute donnée sensible. Le principe de la compatibilité des finalités s’applique également ici: les données collectées et traitées dans le cadre de procédures judiciaires et d’enquêtes pénales ne devraient être utilisées que pour les finalités d’origine et non à d’autres fins, en particulier pour déterminer d’autres caractéristiques de la personne concernée (voir paragraphe 78 ci-dessus).

98. Le deuxième paragraphe du principe 4.8 vise à définir ces finalités. Les données génétiques traitées pour les besoins d’une procédure judiciaire, par exemple une action en paternité, devraient uniquement être utilisées pour établir si oui ou non il existe un lien génétique entre l’enfant et le père présumé. De même, dans une enquête pénale, les données génétiques devraient uniquement servir pour prévenir un danger concret ou réprimer une infraction pénale déterminée.

99. On a considéré que la preuve de la culpabilité ou de l’innocence, même sur la base des démonstrations fournies par les analyses génétiques, va au-delà du champ d’application de la recommandation.

100. Le principe 4.9 vise à réglementer l’utilisation des données génétiques à des fins autres que celles de prévention, de diagnostic, des fins thérapeutiques, de recherches scientifiques ou d’enquête pénale, cette utilisation n’étant permise, en principe, que pour des raisons de santé et pour éviter tout risque sérieux à la santé de la personne concernée ou d’un tiers. Dans le cas, cependant, de la collecte et du traitement de données génétiques en vue de prédire des maladies, la recommandation pose pour condition l’existence d’un intérêt supérieur et requiert que des garanties appropriées soient prévues par la loi compte tenu des divers risques inhérents à la collecte et au traitement de données génétiques, en particulier le risque de discrimination (quant à la portée de la référence à la loi en vertu de la jurisprudence des organes de la Convention européenne des Droits de l’Homme, voir le paragraphe 75 du présent exposé des motifs).

101. Il convient de rappeler tout d’abord que les conditions énumérées au principe 4.3 s’appliquent également à la collecte et au traitement des données génétiques.

102. Le principe 4.9 ajoute une condition supplémentaire pour que les données génétiques puissent être collectées et traitées: la finalité de la collecte et du traitement doit être la protection de la santé et notamment la prévention de tout préjudice sérieux de la personne concernée ou d’une tierce personne.

103. Les rédacteurs de la recommandation ont souligné que le candidat à l’emploi, au contrat d’assurance ou à d’autres services ou activités ne devrait pas être forcé de subir une analyse génétique, par le fait de rendre l’emploi ou le contrat d’assurance dépendants d’une telle analyse, sauf si une telle dépendance est explicitement prévue par la loi et si l’analyse est nécessaire à la protection de la personne concernée ou d’un tiers (travail avec des substances dangereuses, par exemple).

104. Le principe 4.9 est encore plus précis à l’égard de la collecte et du traitement des données génétiques en vue de prédire des maladies. De telles données peuvent être collectées et traitées si l’intérêt de le faire est supérieur à l’intérêt de la personne concernée à ne pas voir ses données génétiques collectées et traitées (par exemple lors d’un intérêt collectif) et si le droit interne a prévu des garanties appropriées.

Il a été entendu qu’un tel intérêt supérieur devrait répondre aux critères pertinents énumérés au principe 4.3.

5. Information de la personne concernée

105. L’un des moyens de veiller à ce que les données médicales soient obtenues et traitées loyalement et licitement, comme le paragraphe a de l’article 5 de la convention l’exige, est d’informer la personne concernée d’un certain nombre d’éléments. Ces éléments sont énumérés au principe 5.1.

106. Il est évident qu’une telle information est indispensable lorsque la personne concernée doit donner son consentement “éclairé” (voir paragraphe 130 ci-après).

107. Mais même dans le cas où son consentement n’est pas requis - c’est-à-dire lorsque la collecte et le traitement des données médicales découlent d’une obligation de la loi ou d’un contrat, sont prévus ou autorisés par la loi, ou lorsqu’il existe une dispense de consentement - la recommandation prévoit que la personne concernée doit bénéficier d’une information pertinente. Bien que les rédacteurs de la recommandation reconnaissent qu’en règle générale le principe 5.1 doit être strict, ils admettent deux types de dérogation: premièrement, le principe 5.6 permet des dérogations pour certains motifs d’intérêt public, pour la protection de la personne concernée ou d’un tiers, ou pour des urgences médicales; deuxièmement, l’information concernant les différents éléments mentionnés aux points a, b, c et d ne doit être donnée que si elle est pertinente (voir paragraphes 115, 116 et 124 ci-après).

108. Le principe 5.1 identifie les éléments suivants à propos desquels la personne concernée doit être informée:

a. l’existence d’un fichier contenant ses données médicales et les catégories de données collectées ou à collecter: dans la plupart des cas, il peut être nécessaire de collecter d’autres données à caractère personnel de la personne concernée que ses données médicales;

b. la ou les finalités pour lesquelles les données sont ou seront traitées: hormis pour des finalités médicales, les données peuvent être traitées à d’autres fins, par exemple pour le remboursement de frais, pour la recherche ou pour l’établissement de statistiques;

c. le cas échéant, les personnes ou organismes auprès desquels elles sont ou seront collectées: le principe 4.2 prévoit la possibilité d’obtenir des données médicales auprès d’autres sources;

d. les personnes ou organismes auxquels - ainsi que les finalités pour lesquelles - elles pourront être communiquées: outre les professionnels des soins de santé, d’autres professionnels, par exemple les pharmaciens, les fonctionnaires responsables de la sécurité sociale, et la famille ou les représentants légaux, peuvent devoir être informés de certaines données médicales à des fins spécifiques;

e. si elles existent, les possibilités pour la personne concernée de refuser son consentement, de le retirer, ainsi que les conséquences d’un tel retrait: si la personne concernée a la possibilité de refuser ou de retirer son consentement, il est évident qu’un tel refus ou retrait ne peut concerner que ses propres données médicales. Il convient également de préciser que l’obligation d’informer la personne concernée ne préjuge en rien l’existence ou non du droit de refuser ou retirer le consentement;

f. l’identité du maître du fichier et, le cas échéant, de son représentant, ainsi que les conditions selon lesquelles les droits d’accès et de rectification peuvent être exercés.

Conformément à l’article 8, paragraphe a, le principe 5.1 exige que la personne concernée soit informée de l’identité du responsable du traitement de ses données médicales, ou de son représentant.

Les conditions pour pouvoir exercer les droits d’accès et de rectification sont prévues au chapitre 8 de la recommandation.

109. Selon le principe 5.2, l’information devrait être donnée avant que les données ne soient collectées. Cela n’est pas toujours possible, par exemple lorsque les données ne peuvent pas être collectées auprès de la personne concernée elle-même. Dans ces cas, elle doit au moins être informée le plus rapidement possible que ses données ont été collectées et, dans la mesure où cela est nécessaire et possible (par exemple si la personne concernée est déjà avertie ou n’est pas en mesure de comprendre) des éléments pertinents mentionnés au principe 5.1.

110. Les rédacteurs de la recommandation sont convenus qu’il appartient à chaque Etat membre de déterminer les modalités selon lesquelles l’information sera fournie.

111. L’information des éléments énumérés ci-dessus peut revêtir partiellement un caractère général, c’est-à-dire que certaines informations s’appliquent à tous les malades traités par un professionnel des soins de santé donné ou dans une institution de soins donnée. Le grand public, par exemple, devrait être informé à l’avance des grandes lignes de tout projet impliquant l’introduction de systèmes de traitement automatisé de données médicales. Une telle information “collective” peut être donnée par les voies les plus efficaces et pratiques (par exemple au moyen d’affiches, de brochures ou de registres publics).

112. D’autres éléments de cette information peuvent concerner l’état de santé d’une personne donnée, c’est-à-dire s’appliquer uniquement au malade et en particulier à ses données médicales. Dans ces cas, le principe 5.3 exige que cette catégorie d’informations soit appropriée et adaptée aux circonstances, et conforme aux pratiques déontologiques; l’information et le moyen de la fournir devraient alors être spécialement destinés à la personne et adaptés à ses facultés de la comprendre: l’information doit être “individualisée” et être donnée, de préférence, à chaque personne concernée individuellement.

113. De même, la relation de confiance entre le patient et son médecin peut avoir des conséquences pour le contenu et les modalités de l’information. “L’information appropriée et adaptée aux circonstances” tient également compte de cette relation et prévoit, par exemple, que le médecin donne des informations supplémentaires si son patient les demande.

114. Les rédacteurs de la recommandation ont souligné toutefois que toute information pertinente, qu’elle soit donnée collectivement ou individuellement, a la même importance et doit dans chaque cas être appropriée.

115. Les rédacteurs de la recommandation ont également reconnu que dans certains cas il peut ne pas être nécessaire d’informer la personne concernée de tout ou partie des éléments mentionnés au principe 5.1, soit parce que ces éléments lui paraissent évidents étant donné le contexte dans lequel les données médicales sont collectées, sans qu’une explication supplémentaire ne soit nécessaire, soit en raison du fait qu’elle a été informée de ces éléments de façon adéquate lors d’une occasion précédente.

116. “Information adaptée aux circonstances” peut impliquer que l’exigence d’information peut être partiellement levée pour les informations qui, de l’avis du professionnel des soins de santé responsable du traitement, pourraient causer une atteinte grave à la personne concernée si elle en avait connaissance. Dans ce cas, il peut soit différer l’information, soit la fournir par l’intermédiaire d’un médecin que le malade a lui-même désigné. Les rédacteurs de la recommandation n’ont pas estimé nécessaire d’inclure un principe spécifique sur cette possibilité.

117. Ces dispositions ne sont toutefois qu’une possibilité de moduler le droit à l’information et non de limiter l’information.

118. Il n’est pas nécessaire que la personne concernée soit informée par le responsable du traitement des données en personne. Toutefois, le responsable du traitement médical devrait s’assurer lui-même que le malade a eu l’occasion d’obtenir notamment l’information “individualisée”. Les rédacteurs de la recommandation étaient conscients des difficultés que le médecin pourrait rencontrer dans la pratique; en conséquence, ils sont convenus qu’il devrait veiller à ce que la personne concernée ait eu accès à l’information, sauf si cela est manifestement déraisonnable ou infaisable.

119. Une analyse génétique peut produire d’autres résultats que les informations recherchées; de telles découvertes inattendues, c’est-à-dire des découvertes qui n’ont pas de liens de causalité avec l’objectif de l’analyse, peuvent porter atteinte à la personne concernée, ou celle-ci pourrait préférer ne pas les connaître. Par ailleurs, les rédacteurs de la recommandation ont estimé que les développements en matière de recherches génétiques sont trop récents et trop importants pour que l’on puisse s’attendre à ce que les personnes non initiées soient aussi familiarisées avec les résultats potentiels qu’avec ceux d’une visite médicale traditionnelle. Le principe 5.4 recommande donc que la personne concernée soit préalablement informée des objectifs de l’analyse, et de la possibilité d’autres découvertes. Si nécessaire, cette information pourra être différée.

120. Comme il a été indiqué au paragraphe 41 ci-dessus, la prise de sang ne constitue pas en soi une analyse génétique. Les rédacteurs de la recommandation ont estimé que la détermination du facteur rhésus ne doit pas être considérée comme une analyse du génome humain, à laquelle le principe 5.4 est applicable.

121. Il est clair que l’information ne peut être fournie qu’aux personnes capables de discernement; le principe 5.5 fait état des informations données à la personne pouvant agir légalement dans l’intérêt de la personne concernée légalement incapable.

Par “incapables légaux”, les rédacteurs de la recommandation ont entendu toute personne dont l’état engendre un vice du consentement de la personne concernée selon le droit interne.

122. Dans certains Etats membres cependant, le droit interne permet aux incapables légaux d’agir en leur propre nom s’ils sont capables de prendre des décisions librement (par exemple en matière de contraception). Dans de tels cas, le principe 5.5 permet que l’information soit donnée à la personne concernée elle-même.

123. Les rédacteurs de la recommandation ont estimé que “l’information appropriée et adaptée aux circonstances” requises au principe 5.3 devrait également s’appliquer aux adultes incapables de fait. Plutôt que de créer une catégorie supplémentaire de dérogations au droit à l’information, avec le risque d’abus, les rédacteurs ont souhaité faire confiance aux professionnels des soins de santé.

La recommandation encourage l’information des incapables qui sont toutefois en mesure de la comprendre; comme on le verra au principe 6.4, l’on devrait tenir compte de l’avis que ces personnes pourraient exprimer, sauf disposition contraire du droit interne.

124. Comme cela a été observé au paragraphe 107 ci-dessus, les rédacteurs de la recommandation ont reconnu que dans certaines conditions des données médicales pourraient être collectées sans informer la personne concernée de chacun de ces éléments. Ces conditions sont énumérées de façon exhaustive au principe 5.6 de la recommandation. Les rédacteurs ont reconnu qu’une telle dérogation à l’obligation d’information ne pourrait s’appliquer lorsque l’accès aux données serait refusé, limité ou différé (voir paragraphe 156 ci-dessous).

125. Il est souligné toutefois qu’une telle dérogation ne s’appliquerait en général qu’à l’exigence de l’information préalable à la collecte des données; dans la mesure du possible, l’obligation d’informer la personne concernée après la collecte est maintenue de même que l’obligation générale d’obtenir son consentement avant le traitement des données.

126. Dans l’esprit de l’article 6 de la convention, qui requiert des garanties appropriées pour le traitement des données médicales, les rédacteurs de la recommandation, en ce qui concerne les exigences de l’information individualisée et du consentement (voir également le paragraphe 133 ci-dessous) ont réduit, au principe 5.6.a, les possibilités de procéder à des dérogations et à des restrictions qui sont autorisées autrement en vertu de l’article 9 de la convention. Ainsi, de telles dérogations et restrictions ne sont autorisées que si elles sont prévues par la loi et si cela constitue une mesure nécessaire dans une société démocratique à la prévention d’un danger concret ou à la répression d’une infraction pénale déterminée (voir paragraphe 78 ci-dessus), à la protection de la personne concernée ou des droits et libertés d’autrui, y compris d’un parent de la personne concernée, ou pour des raisons de santé publique (voir paragraphe 77 ci-dessus).

127. En cas d’urgence, il peut être de l’intérêt de la personne concernée de collecter les données médicales que les professionnels des soins de santé jugent nécessaires pour les soins médicaux à apporter et de les traiter avant de l’informer de cette collecte (principe 5.6.b).

128. Sous réserve du paragraphe 119 ci-dessus, il convient de souligner que le principe 5.6 ne permet pas de déroger au droit à l’information avant la collecte des données génétiques consigné au principe 5.4; en effet, les rédacteurs de la recommandation ont estimé que la collecte des données génétiques devrait être précédée par une information de la personne concernée, à moins que l’urgence de cette collecte exige que l’information soit différée.

6. Consentement

129. L’une des conditions de la collecte et du traitement des données médicales est que la personne concernée ait donné son consentement dans la mesure où elle est capable de le faire. Ces données étant considérées comme des données sensibles au sens de l’article 6 de la convention, le principe 6.1 exige que le consentement soit “libre, exprès et éclairé”. Il peut être recueilli de façon codifiée (comme les cartes multifonctionnelles).

130. Le consentement libre, exprès et éclairé, donné par écrit, est une condition requise dans les recommandations sur la protection des données dans d’autres secteurs; pour le traitement des données médicales, ce consentement ne doit pas nécessairement être donné par écrit; il peut également être donné oralement ou au moyen d’un enregistrement, pour autant que le but recherché, à savoir l’authentification de l’accord de la personne concernée, soit atteint.

131. Le consentement est “éclairé” si la personne concernée connaît notamment les finalités poursuivies et l’identité du responsable. Le consentement est “libre” si la personne concernée a la possibilité de refuser son consentement, de le retirer ou de modifier les modalités de son consentement.

132. Les rédacteurs de la recommandation ont été conscients que le principe de libre consentement implique la possibilité de le retirer. Ils ont cependant accepté qu’une disposition permettant aux personnes concernées de retirer leur consentement à n’importe quel moment entraînerait trop de problèmes pratiques (par exemple pour un hôpital entièrement automatisé). Toutefois, il doit être clair que si le droit interne prévoit que les bénéfices sociaux dépendent du traitement de données médicales, la personne concernée doit accepter que le retrait de son consentement puisse impliquer la perte de ces bénéfices.

133. Les rédacteurs de la recommandation ont reconnu également que dans certaines conditions les données médicales peuvent être traitées sans que la personne concernée ait donné son consentement libre, exprès et éclairé. Ces conditions sont énumérées dans la recommandation de façon exhaustive.

134. En ce qui concerne la collecte de données médicales au cours d’une consultation ou d’un traitement à des fins préventives, de diagnostic ou à des fins thérapeutiques par un médecin que la personne concernée a librement choisi, les rédacteurs de la recommandation ont estimé que le consentement du malade ne doit pas être formulé si les données ne sont en effet traitées que pour l’accomplissement de soins au patient. Le principe 4.3.b.i donne la base légale pour le traitement des données médicales dans le cadre de la gestion d’un service médical agissant dans son intérêt (voir paragraphe 84 ci-dessus).

135. Les observations faites sous le paragraphe 134 s’appliquent également au personnel auxiliaire de la personne responsable du traitement tel que, notamment, les infirmières, secrétaires, etc., et les autres professionnels des soins de santé auxquels le médecin traitant a recours (médecins qualifiés en radiologie et scanographie).

136. Le principe 6.2 prévoit qu’après une analyse génétique la personne concernée ne devrait être informée que des résultats qui correspondent aux objectifs de la consultation, du diagnostic ou du traitement, à moins qu’elle n’ait demandé elle-même à être davantage informée (voir principe 8.4 ci-après). En d’autres termes, le contenu du consentement est déterminant pour l’accès aux résultats de l’analyse (voir paragraphe 164 ci-dessous).

137. Le principe 6.3 prévoit que si un incapable légal ne peut pas décider librement ni agir en son nom propre, le consentement pour le traitement de ses données médicales doit être donné par la personne agissant légalement dans l’intérêt de l’incapable concerné ou par une autorité ou toute personne ou instance désignée par la loi.

138. Jusqu’à l’âge de la capacité juridique d’un mineur, ses parents sont juridiquement habilités à remplir les conditions exigées du consentement pour son compte. En cas d’absence de parents, un tribunal désigne un tuteur pour remplir cette fonction. Il en va de même pour tout autre individu ou organisme reconnu par le droit interne comme étant juridiquement compétent pour gérer les affaires du mineur.

139. En ce qui concerne les majeurs qui sont de facto incapables de donner leur consentement, par exemple pour des raisons de maladie mentale, les rédacteurs de la recommandation ont estimé que les systèmes juridiques nationaux ou les tribunaux doivent désigner un représentant légal ou une autorité ou toute personne ou instance désignée par la loi qui peut donner le consentement au nom de l’incapable.

140. Le consentement du représentant légal ou d’une autre autorité ou de toute personne ou instance désignée par la loi ne peut être donné qu’à la place du consentement requis auprès de la personne concernée et dans les mêmes conditions.

Cependant, si conformément au principe 5.5 la personne incapable a été informée (voir paragraphe 122 ci-dessus), son désir d’accepter ou non la collecte et le traitement de ses données médicales devrait être pris en considération sauf si cela est contraire à la loi.

141. Dans les cas d’urgence médicale, les données médicales peuvent être collectées et traitées même sans le consentement de la personne concernée. Cela découle du principe 4.3, sous-paragraphe a.iv (voir paragraphe 80 ci-dessus). Néanmoins, les rédacteurs de la recommandation ont souligné que toute décision de procéder à la collecte et au traitement de données médicales sans le consentement de la personne concernée ne devrait pas être prise dans l’intérêt de personnes autres que le malade. Par exemple, la décision de communiquer les données médicales à des fins de recherche médicale ne devrait pas être prise par les chercheurs eux-mêmes; un tiers indépendant devrait être sollicité, par exemple un membre de la famille. En outre, il est clair que dans de telles situations seules peuvent être collectées et traitées les données nécessaires au traitement médical, et seulement si la personne concernée n’est pas en mesure de donner son consentement.

142. Les rédacteurs de la recommandation sont convenus qu’il n’était pas nécessaire de prévoir un principe dispensant explicitement la personne responsable du traitement médical de l’obligation de recueillir le consentement lorsque cela peut porter une atteinte grave à la personne concernée. Le consentement n’est pas requis en vertu du principe 4.3.b.i.

Par ailleurs, le principe 5.6 permet, pour la protection de la personne concernée elle-même, de ne pas lui fournir toutes les informations; tout consentement requis dans de telles circonstances, ne serait donc pas “éclairé”.

7. Communication

143. Il est évident que les données médicales, une des catégories de données sensibles pour lesquelles la convention exige une protection spéciale, ne devraient pas être communiquées en dehors du contexte médical dans lequel elles ont été collectées, sauf si elles ont été rendues anonymes (auquel cas les données ne tombent plus dans le champ de la définition de données à caractère personnel).

Il existe toutefois certaines circonstances dans lesquelles des données médicales pertinentes doivent être révélées à des personnes ou organismes qui, tout en n’étant pas responsables du traitement médical de la personne concernée, agissent d’une autre manière dans son intérêt immédiat (les services de sécurité sociale par exemple) ou sont responsables d’une recherche médicale. Dans ce dernier cas, les dispositions du chapitre 12 s’appliquent en plus de celles du présent chapitre. Le principe 7.3 définit les quatre conditions alternatives à une telle révélation.

144. Comme il ressort du principe 7.3, les données médicales peuvent donc être communiquées, dans certaines conditions, également en dehors du secteur médical. Toutefois, le principe 7.2 introduit comme l’une des garanties appropriées mentionnées à l’article 6 de la convention, la condition préalable qu’une telle communication ne peut être faite qu’aux personnes soumises à la confidentialité, sauf si le droit interne prévoit d’autres garanties. Les règles de confidentialité sont, pour le secteur médical, celles du secret médical ou, pour les autres secteurs, des règles comparables. En tous les cas, le destinataire doit être soumis aux principes de la recommandation.

145. Le principe 7.3 permet la communication des données médicales, dans la mesure où elles sont pertinentes pour atteindre l’objectif pour lequel elles sont communiquées, même à l’insu de la personne concernée et même pour une finalité autre que celle pour laquelle les données avaient été collectées. Les rédacteurs de la recommandation ont donc pris soin de préciser les quatre conditions alternatives dans lesquelles une telle communication peut avoir lieu.

146. Tout d’abord, dans le paragraphe a, les rédacteurs de la recommandation se sont inspirés des conditions imposées à l’article 9 de la convention pour toute dérogation à la protection des données sensibles. C’est ainsi que la communication des données médicales peut intervenir si elle est prévue par la loi et constitue une mesure nécessaire dans une société démocratique pour poursuivre l’un des objectifs suivants:

a. les intérêts de la santé publique (par exemple dans le cas de maladies contagieuses);

b. la protection de la personne concernée elle-même (par exemple lorsque la communication est manifestement dans son propre intérêt);

c. la protection d’un membre de la lignée génétique (par exemple lorsque les résultats d’une analyse génétique indiquent un risque sérieux de santé pour un autre membre de la lignée génétique; voir paragraphe 151 ci-après);

d. la protection des droits et libertés de tiers si le respect de ces droits et libertés est clairement prépondérant par rapport aux intérêts de la personne concernée (par exemple en cas d’une maladie contagieuse);

e. le respect des obligations contractées en matière de droit du travail (par exemple en cas de maladie de l’employé);

f. la prévention d’un danger concret ou la répression d’une infraction pénale déterminée (par exemple la recherche d’un criminel blessé dans les hôpitaux; voir également le paragraphe 78 ci-dessus);

g. un autre intérêt public important (par exemple la sécurité de l’Etat).

147. Les rédacteurs de la recommandation sont convenus que l’expression “mesure nécessaire dans une société démocratique” permettrait la communication dans un intérêt supérieur à celui de la personne concernée.

148. Deuxièmement, des données médicales peuvent être communiquées si cette communication est nécessaire à la constatation, l’exercice ou la défense d’un droit en justice. Puisqu’il s’agit ici de la communication de données sensibles, dans l’intérêt d’une tierce personne à l’insu de la personne concernée et à des fins incompatibles avec celles de la collecte, les rédacteurs de la recommandation ont souligné que la constatation, l’exercice ou la défense de ce droit en justice doit primer sur le droit à la vie privée de la personne concernée.

Lorsqu’une personne concernée se trouve dans l’incapacité physique et juridique de donner son consentement, il existe une situation où les données médicales peuvent être collectées, traitées ou communiquées pour sauvegarder les intérêts vitaux de cette personne (principes 7.3.b.ii et 4.3.b.ii).

Lors de la collecte et du traitement de données médicales dans le cadre des obligations contractuelles (principes 4.3.b.iii et 7.3.b.iii), les Etats membres de l’Union européenne ne peuvent faire usage de cette faculté que dans le contexte du droit du travail. Pour les autres Etats membres du Conseil de l’Europe, ces dispositions peuvent entrer en ligne de compte dans d’autres domaines, tels que le sport, la formation ou les assurances.

149. Troisièmement, les données médicales peuvent être communiquées si la personne concernée - ou son représentant légal - a donné son consentement et le droit interne ne dispose pas autrement. En vertu du principe 6.1 ce consentement devrait être libre, exprès et éclairé (donc être précédé par l’information préalable requise au principe 5.1); le consentement n’est pas requis lorsque les conditions décrites au principe 7.3.d sont réunies.

150. Le consentement peut être donné pour une finalité de la communication bien définie, ou la communication pourra être faite pour plusieurs finalités à la fois, par exemple pour la recherche médicale en général. Il convient de noter qu’une telle communication fondée sur le consentement, n’est pas forcément accompagnée de garanties appropriées que l’article 6 de la convention réclame pour la communication en vertu du droit interne.

Une telle communication dépend cependant du droit interne pour tenir compte des Etats membres dans lesquels les règles du secret médical excluent toute divulgation de données médicales par des professionnels des soins de santé, même lorsque la personne concernée y consent. De telles règles sont différentes d’un Etat à l’autre.

151. Quatrièmement, les données médicales peuvent être communiquées lorsque les conditions cumulatives ci-après ont été remplies:

a. la personne concernée (ou son représentant) n’a pas fait opposition à la communication (qui n’est pas obligatoire);

b. le droit interne ne s’y oppose pas;

c. les données avaient été collectées dans un contexte préventif, diagnostique ou thérapeutique que la personne concernée avait librement choisi;

d. les finalités de la communication et du traitement précédent ne sont pas incompatibles.

Les rédacteurs de la recommandation ont estimé qu’une telle compatibilité existe lorsque les données sont communiquées pour apporter des soins au patient, ou pour gérer un service médical agissant dans son intérêt (voir paragraphe 84 ci-dessus).

152. Les rédacteurs de la recommandation ont reconnu que les questions soulevées par la divulgation de données génétiques semblent être de nature éthique et sortir du champ d’application de la recommandation. Du point de vue de la protection des données à caractère personnel, ils ont considéré que la personne objet de l’analyse génétique devrait être encouragée à conseiller aux autres membres de sa lignée génétique de demander une consultation génétique lorsque les informations obtenues font apparaître la nécessité d’une confirmation ou révèlent l’existence d’un risque grave pour leur santé.

De plus, et en fonction de la législation nationale et des règles d’éthique professionnelle, si la santé d’un parent de sang (parent consanguin ou utérin) est exposée à un risque grave et imminent, le professionnel des soins de santé devrait pouvoir l’informer même si la personne objet de l’analyse génétique à l’origine refuse son consentement ou que son consentement ne peut être obtenu. La personne concernée devrait en être informée.

8. Droits de la personne concernée

153. L’un des principes les plus importants en matière de protection des données, confirmé dans l’article 8 de la convention, est le droit de toute personne de connaître les informations sur elle-même enregistrées par d’autres personnes.

Dans le domaine médical, trois obstacles principaux rendent l’application de ce principe difficile. D’abord, il peut s’avérer extrêmement préjudiciable au traitement d’un malade que toutes les informations concernant son cas lui soient données. Deuxièmement, il se peut que les informations médicales en tant que telles ne soient pas très compréhensibles pour le non-initié. Et troisièmement, les données médicales, en particulier les données génétiques, peuvent concerner également des personnes autres que la personne concernée.

Droits d’accès et de rectification

154. Le principe 8.1 résume, en ce qui concerne les données médicales, les dispositions de l’article 8, paragraphes a et b, de la convention: en règle générale, toute personne doit pouvoir avoir accès à son fichier médical et, de façon implicite, en connaître l’existence. Les exceptions à cette règle devraient être limitées au minimum; on peut citer comme exemple qu’il pourrait être préjudiciable à un patient de savoir qu’il figure sur un registre de cancéreux.

Pour cette raison, le principe 8.1 prévoit l’option de l’exercice du droit d’accès de façon indirecte (voir paragraphe suivant); dans ce cas, et sauf si ceci est contraire au droit interne, la personne concernée devrait le préciser et être en mesure de désigner à cette fin une personne de son choix qui devrait se voir octroyer un droit d’accès complet.

155. Dans certains Etats membres, le droit interne ne permet pas à la personne concernée d’avoir un accès direct à ses données médicales (par exemple en vertu des règlements sur le secret médical), ce qui, en fait, constitue une dérogation en vertu de l’article 9 de la convention. Si, toutefois, il existe un tel droit et que la personne concernée ne souhaite pas l’exercer elle-même directement, elle devrait pouvoir désigner une personne - conformément au droit interne - pour exercer son droit d’accès. En fonction du droit en vigueur, cette personne peut être un médecin ou un autre membre du corps médical, un parent ou toute autre personne choisie par la personne concernée.

156. Comme dans le cas de l’information “individualisée” (paragraphe 112 ci-dessus), la personne concernée doit, dans la mesure du possible, pouvoir comprendre l’information à laquelle elle a accès. Cela n’implique pas que les données médicales doivent être enregistrées sous forme intelligible; souvent l’information est codifiée, par exemple pour les diagnostics de groupes. Ce qui importe, c’est que les informations soient accessibles à la personne concernée - ou à la personne de son choix - sous une forme qu’elle peut comprendre.

157. Comme l’article 9 de la convention, le principe 8.2 autorise des dérogations au droit d’accès aux données médicales si la loi prévoit un tel refus, une telle restriction ou un tel report. Le principe 8.2 est également inspiré par le principe général de la proportionnalité; l’accès aux données médicales ne peut être refusé, limité ou différé que dans la mesure où cela est nécessaire: chaque cas doit être jugé en toute objectivité.

158. Le droit d’accès peut premièrement être refusé, limité ou différé s’il s’agit d’une mesure nécessaire dans une société démocratique à la protection de la sécurité de l’Etat, à la sûreté publique ou à la répression des infractions pénales.

Les rédacteurs de la recommandation ont estimé que l’accès aux données médicales ne devrait pas être limité pour protéger les intérêts monétaires de l’Etat.

159. Deuxièmement, l’accès aux données médicales peut être refusé, limité ou différé s’il est susceptible de causer une atteinte grave à la santé physique ou mentale de la personne concernée: le paragraphe 8.2.b reconnaît “le droit de ne pas savoir”. Dans ces cas, il serait néanmoins souhaitable que l’accès soit accordé indirectement (voir paragraphe 152 ci-dessus), et, de toute façon, dès que le risque d’atteinte a cessé d’exister, l’accès doit être donné.

160. Troisièmement, l’accès peut être refusé, limité ou différé s’il devait révéler des informations sur des tiers et que la protection des données à caractère personnel de ce tiers devait prévaloir sur l’intérêt de la personne concernée d’avoir accès à ses propres données médicales. Par ailleurs, les rédacteurs de la recommandation ont prévu au paragraphe c la possibilité de refuser, de limiter ou de différer l’accès aux données génétiques quand il peut porter une atteinte grave à tout membre de la lignée génétique ou à une personne qui a un lien direct avec cette lignée, par exemple un membre présumé de la famille qui se révèle ne pas être un membre de la lignée génétique, ou une personne n’étant pas présumée apparentée qui s’avère appartenir à la famille.

161. Enfin, le paragraphe d du principe 8.2 reprend la possibilité, prévue à l’article 9, paragraphe 3, de la convention, de restreindre le droit d’accès aux données utilisées à des fins statistiques ou de recherches scientifiques, lorsque cette restriction ne crée pas de risques d’atteinte à la vie privée des personnes concernées, par exemple lorsqu’il existe des garanties que les données ne seront pas utilisées pour prendre des décisions relatives à la personne concernée.

162. En vertu de l’article 8 de la convention, le droit d’accès à ses propres données va de pair avec le droit de la personne concernée d’obtenir, sous certaines conditions, la rectification ou l’effacement de ses données. Un des principes généraux de la protection des données est que les informations doivent être rectifiées ou effacées si elles sont erronées. Dans le secteur médical, toutefois, l’exercice de ce droit de rectification ou d’effacement peut parfois soulever des problèmes de nature spécifique.

163. Le principe 8.3 autorise donc la personne concernée à demander la rectification de telles données erronées, mais non leur effacement, étant donné que même les données erronées peuvent avoir leur importance dans l’historique médical de la personne concernée.

164. Il est clair que la personne concernée ne peut obtenir une rectification des données médicales auxquelles elle n’a pas eu accès, directement ou indirectement, en vertu du principe 8.2.

165. Les données à caractère personnel contenues dans un fichier médical peuvent être accompagnées de “données de jugement”: des avis et des évaluations émis par les personnes responsables de l’analyse ou du traitement et qui, de ce fait, constituent également des données médicales, mais des données sur lesquelles ces personnes peuvent revendiquer un certain droit de regard. Bien que les rédacteurs de la recommandation n’aient pas reconnu que, comme dans le secteur de l’emploi (Recommandation (89) 2), la personne concernée devrait en principe avoir le droit, conformément au droit interne, de contester les données de jugement contenues dans son fichier médical et obtenir que cette contestation soit enregistrée, ils ont admis que formuler un principe spécifique sur cette question rencontrerait trop de difficultés dans la pratique.

166. A l’instar de la précédente Recommandation (81) 1 sur la réglementation applicable aux banques de données médicales automatisées, les rédacteurs de la recommandation ont estimé que les personnes concernées devraient pouvoir introduire un recours contre le refus de rectifier les données erronées. En fonction du droit interne et de la pratique nationale, un tel recours pourrait être déposé soit devant le tribunal compétent, soit devant l’autorité chargée de la protection des données. Si, comme en dispose le principe 9.3, le maître du fichier médical a établi un règlement interne, ce recours devrait être déposé soit auprès de la personne ou de l’organisme auquel certaines décisions doivent être soumises pour approbation, soit auprès de la personne qui contrôle l’utilisation du fichier médical, soit auprès de la personne à qui l’on peut avoir recours en cas de litige si ces personnes ont été désignées par les règlements internes des fichiers médicaux (voir paragraphe 179 ci-après).

Découvertes inattendues

167. Comme il a été signalé aux paragraphes 119 et 160 ci-dessus, les découvertes inattendues d’une analyse génétique peuvent porter atteinte à la personne concernée ou à d’autres membres de la lignée génétique, atteinte plus importante que le droit de la personne concernée à connaître ses propres données génétiques, par exemple la présence de parenté familiale inattendue ou l’absence de parenté familiale supposée. De telles données incidentes n’étaient pas le but de l’analyse; personne ne les a demandées. De plus, l’article 5 de la convention exige que les données faisant l’objet d’un traitement automatisé doivent être adéquates, pertinentes et non excessives. La meilleure protection de telles données incidentes serait de les effacer immédiatement.

168. Le paragraphe c du principe 8.2 prévoit déjà que, si la loi le stipule, l’accès aux données génétiques peut être refusé, limité ou différé si la révélation de ces données est susceptible de porter une atteinte grave à des parents consanguins ou utérins, ou à une personne ayant un lien direct avec cette lignée génétique (voir paragraphe 160 ci-dessus).

169. Cependant, les rédacteurs de la recommandation ont reconnu que la convention exige également, dans son article 8, que la personne concernée doit pouvoir avoir accès à ses données. Dans le domaine génétique, le droit d’accès à des données probablement complexes se traduit plutôt par un droit à l’information compréhensible pour la personne concernée. En outre, il a été noté que le principe 11 de la Recommandation (92) 3 sur les tests et le dépistage génétiques à des fins médicales est formulé comme suit:

“Conformément à la législation nationale, les découvertes inattendues ne peuvent être communiquées à la personne testée que si elles ont une importance clinique directe pour celle-ci ou sa famille.

La communication de ces découvertes inattendues à des membres de la famille de la personne testée ne devrait être autorisée par le droit national que si cette dernière refuse expressément de les avertir alors que leur vie est en danger.”

170. Pour ces raisons, le principe 8.4 n’exclut pas totalement la possibilité que les informations sur les découvertes inattendues soient données à la personne objet de l’analyse. Toutefois, les conditions suivantes doivent être remplies,

soit:

a. le droit interne ne doit pas interdire une telle information; et

b. la personne doit avoir demandé elle-même cette information; et

c. l’information n’est pas susceptible de porter une atteinte grave à sa santé (physique ou mentale) ou de porter une atteinte grave à certaines catégories de personnes;

soit l’information est d’une importance directe pour le traitement de la personne ou pour la prévention d’une atteinte à sa santé, et n’est pas interdite en vertu du droit interne.

171. Les catégories des personnes à qui l’information ne doit pas porter atteinte comprennent d’abord des parents consanguins et des parents utérins, c’est-à-dire les membres de la lignée génétique de la personne qui a subi l’analyse génétique. Deuxièmement, les rédacteurs de la recommandation ont estimé que cette protection devrait également s’étendre aux personnes qui font partie de sa famille sociale, c’est-à-dire les personnes qui, tout en n’appartenant pas à la famille naturelle ou juridique, sont quand même liées par des liens d’affinité, telles que le conjoint ou l’enfant adopté. Troisièmement, sont visées également les personnes qui ne sont pas membres de la lignée génétique, ni de la famille sociale, mais qui ont un lien direct avec la lignée génétique de la personne objet de l’analyse, par exemple le donneur de sperme.

172. Dans certains Etats membres, le droit interne ne permet pas de cacher, à la personne concernée qui en a fait la demande, l’information sur les découvertes inattendues dans l’intérêt d’un tiers. Le principe 8.4 permet, dans ce cas, de déroger à cette restriction de l’information, à condition que le droit interne prévoit d’autres garanties appropriées à la protection du tiers.

Le principe 8.4 constituant déjà en soi une dérogation au droit d’accès, les restrictions énumérées au principe 8.2 ne s’y appliquent pas.

9. Sécurité

174. Comme première règle, les dispositions générales en matière de sécurité énoncées à la convention s’appliquent aux fichiers médicaux, notamment l’article 7. Le principe 9.1 reprend cette disposition, adaptée à la nature spécifique des données médicales et aux conditions particulières dans lesquelles elles sont collectées, et développée en conséquence.

175. Les rédacteurs de la recommandation ont estimé que les mesures préconisées au principe 9.1 devraient également être prises à l’égard des données génétiques, et, dans la mesure du possible, couvrir les supports de ces données, tels que les échantillons prélevés sur le corps humain.

176. Par ailleurs, en vertu de l’article 6 de la convention, les données à caractère personnel relatives à la santé ne peuvent être traitées automatiquement à moins que le droit interne ne prévoie des garanties appropriées.

177. Les rédacteurs de la recommandation ont souligné l’importance croissante des mesures de sécurité, liées à l’utilisation toujours plus grande des équipements électroniques par les praticiens médicaux quels qu’ils soient, les nombreux vols de tels équipements et le coût relativement faible de la mise en place de telles mesures. C’est pourquoi, le principe 9.2 exige en particulier une politique visant à assurer la sécurité et l’exactitude des systèmes d’information médicale, y compris par des mesures de protection en matière de sécurité identiques à celles qui ont été définies à l’article 118 de la Convention d’application de l’accord de Schengen du 14 juin 1985. De telles mesures devraient établir un équilibre entre le fonctionnement souple du système au bénéfice du patient et les garanties nécessaires à la protection de sa vie privée contre toute intrusion inutile. Ces mesures devraient être à la hauteur des développements technologiques des systèmes d’information, sans pour autant donner lieu à des dépenses démesurées.

De plus, ces mesures devraient être appropriées, c’est-à-dire proportionnelles au traitement. Un médecin, par exemple, ne devrait pas laisser son ordinateur personnel dans une salle non verrouillée; les grands centres de soins devraient être équipés de systèmes de code pour accéder aux ordinateurs.

178. En ce qui concerne l’alinéa e du principe 9.2 (contrôle d’accès), la conception du système devrait être appropriée aux circonstances, par exemple conserver les différents types de données ensemble lorsque cela facilite les soins et le traitement du patient. L’information devrait de préférence n’être disponible que pour les personnes pour qui il est réellement nécessaire d’y avoir accès.

179. Dans le cas de fichiers médicaux d’un certain volume, auxquels hormis la personne responsable du traitement médical, d’autres professionnels des soins de santé ont légitimement accès, le principe 9.3 recommande que le maître de tels fichiers établisse, conformément au droit interne, un règlement interne dans le respect des principes pertinents de la recommandation. Ce règlement devrait également désigner les personnes auprès desquelles il serait possible d’introduire un recours dans le cas où la rectification de données erronées serait refusée (voir paragraphe 166 ci-dessus).

180. Si les maîtres de fichiers médicaux ne peuvent pas s’assurer eux-mêmes que les mesures de sécurité sont respectées, ils devraient en vertu du principe 9.4 désigner des agents de sécurité pour les systèmes, non pas pour se décharger de leur propre responsabilité liée à la sécurité des données médicales, mais dans le but de déléguer certaines de leurs tâches.

10. Conservation

181. La recommandation tient compte d’une situation où les fichiers de données médicales exigent une réglementation différente de celle des autres types de fichiers. Il est généralement accepté, comme indiqué au principe 10.1, que les données médicales ne doivent pas être conservées plus longtemps qu’il n’est nécessaire, car l’accumulation pendant des années de l’information sur une personne serait une menace à sa vie privée.

182. Toutefois, l’intérêt de la santé publique, de la recherche médicale, du médecin traitant ou du maître des fichiers, ou des raisons historiques ou statistiques, peut exiger la conservation de longue durée de données médicales, même après le décès des personnes concernées. Dans certains Etats membres, des réglementations précises visent la conservation des archives médicales. Le principe 10.2 permet la conservation prolongée des données médicales à condition que des garanties adéquates de sécurité et de protection de la vie privée soient données.

183. Les données personnelles collectées au cours du dépistage génétique, du diagnostic génétique et du conseil génétique y relatif peuvent être enregistrées, y compris celles relatives au conseil génétique, au diagnostic et à la prévention de la maladie. Pour les besoins du traitement médical - diagnostic, traitement et prévention de la maladie - ainsi que pour les besoins de la recherche y relative, la conservation à long terme de ces données peut être exigée en raison de la nature des maladies génétiques. Une attention particulière devrait être accordée au système spécifique de sécurité, rendu nécessaire pour le stockage à long terme des données génétiques.

184. Le principe 10.2 peut s’appliquer également aux données incidentes résultant d’une analyse génétique.

185. Lorsque des données médicales sont conservées, l’anonymisation de ces données constitue la meilleure garantie pour la vie privée du patient. Si les données médicales ne peuvent pas être anonymisées, d’autres mesures spéciales de sécurité doivent être prises à cette fin.

186. Toutefois, aucune de ces mesures ne doit porter préjudice, en principe, au droit de la personne concernée d’exiger l’effacement de ses données médicales lorsqu’elles ne sont plus utiles aux finalités pour lesquelles elles ont été collectées. Ce droit ne peut être limité que par des intérêts supérieurs et protégés par la loi, par exemple lorsqu’il existe une obligation juridique d’enregistrer des données médicales dans des archives, lorsque le droit interne ne permet pas à la personne concernée d’effacer ses données médicales ou lorsque les intérêts légitimes du professionnel des soins de santé responsable du traitement médical s’opposent à un tel effacement (principe 10.3) pour conserver les données de ses patients dans le but de se défendre contre de possibles allégations à propos d’un diagnostic ou d’un traitement incorrect.

187. Les rédacteurs de la recommandation n’ont pas inclus de disposition sur le transfert, à la demande de la personne concernée, de données médicales à un autre professionnel des soins de santé, en raison des questions qu’une telle obligation soulèverait et qui n’entrent pas dans le champ d’application de la recommandation.

11. Flux transfrontières

188. Avec la mobilité croissante des personnes, les flux transfrontières des données médicales prennent de plus en plus d’importance: la vie de la personne concernée peut dépendre de la communication rapide et simple de ses données médicales.

189. Pourtant le principe 11.1 confirme explicitement - en raison de la nature sensible des données médicales et des risques pour la vie privée de la personne concernée que peut comporter l’accès non autorisé - que les dispositions de la recommandation s’appliquent également lorsque les données médicales sont transférées par-delà les frontières. Dans ce principe, et dans les principes 11.2, 11.3, et 11.4, la recommandation suit la Recommandation (91) 10 sur la communication à des tierces personnes de données à caractère personnel détenues par des organismes publics.

190. Le principe 11.2 établit le principe du libre flux des données. Etant donné qu’une Partie contractante à la convention doit posséder des normes de protection des données compatibles avec les principes de base de la convention, il n’y a a priori aucune justification pour restreindre le libre flux des données vers un tels pays. C’est certainement le cas lorsque l’Etat exportateur est également une Partie contractante. Toutefois, le principe 11.2 ne se limite pas exclusivement à la situation dans laquelle le pays exportateur est une Partie contractante. Il envisage également les cas où les données à caractère personnel sont communiquées par des Etats qui ne sont pas Partie à la convention, y compris les Etats n’ayant pas encore adopté de législation sur la protection des données. Les rédacteurs de la recommandation ont souhaité encourager tous les pays à accepter le principe du libre flux de données vers les Etats ayant ratifié la convention.

191. Les dispositions du principe 11.2 ne portent pas préjudice au droit d’une Partie contractante de déterminer les conditions de transfert de catégories particulières de données à caractère personnel ou de fichiers contenant des données à caractère personnel conformément aux dispositions de l’article 12, paragraphe 3.a, de la convention.

192. Le principe 11.3 traite de la situation dans laquelle l’Etat destinataire assure une protection des données médicales qui est conforme aux principes de base de la convention ainsi qu’à la philosophie de la recommandation, mais qui n’a pas encore ratifié la convention. Certains Etats ont en fait adopté des lois de protection des données conformes à la convention, mais n’ont pas encore atteint l’étape consistant à déposer leur instrument de ratification. Comme le principe 11.2, le principe 11.3 encourage également le libre flux de données vers ces Etats. L’on a estimé que, bien que la ratification de la convention soit d’une absolue nécessité à un moment donné, la situation juridique concernant la protection des données dans ces pays devrait être considérée comme suffisante et la communication transfrontière devrait pouvoir intervenir sans conditions supplémentaires. Pour utiliser la terminologie de la convention, on peut supposer qu’un “niveau de protection équivalent” existe dans ces pays, au moins lorsque les données doivent être importées à partir du territoire des Parties contractantes.

193. Le principe 11.4 traite de la situation dans laquelle l’Etat de destination n’a pas ratifié la convention et ne possède pas de dispositions juridiques sur la protection des données à caractère personnel, ou du moins n’assure pas une protection effective des données à caractère personnel que l’on puisse considérer comme étant compatibles avec les principes de base de la convention. Dans ce cas, et afin de ne pas affaiblir la protection des personnes concernées et ainsi amoindrir la portée des principes de protection des données, et notamment les principes énoncés tant dans la convention que dans la recommandation, les Etats exportateurs ne devraient permettre la communication de données médicales à des tierces personnes résidant dans ces pays que si l’une des deux conditions énoncées ci-après est remplie.

194. Le paragraphe a du principe 11.4 prévoit une méthode alternative pour assurer la protection des données médicales dans le cas d’une communication des données médicales vers des pays n’ayant pas encore légiféré en matière de protection des données. La méthode alternative propose que le pays exportateur prenne des mesures qui pourraient garantir l’intégrité des données, y compris le respect des principes énoncés dans la convention et dans la recommandation, dans le territoire du pays destinataire. Une des mesures pourrait être d’exiger que la partie importatrice s’engage contractuellement à respecter les principes de protection des données. A ce propos, l’on pourrait faire référence au contrat type élaboré par le Comité consultatif des Parties contractantes à la convention. Il convient de souligner que l’utilisation d’un contrat juridique doit être perçu comme une solution d’attente jusqu’à la promulgation de dispositions de protection des données dans le pays de destination et ne doit pas être considérée comme un substitut à la nécessité d’adopter de telles dispositions à un stade quelconque. Afin de permettre de régler des litiges indépendamment des considérations de droit national, le contrat devrait prévoir un système d’arbitrage indépendant. La compétence des arbitres indépendants devrait s’étendre jusqu’à permettre à la personne concernée de faire respecter ses droits relatifs à ses données, et de lui octroyer une réparation dans le cas où de tels droits seraient méconnus par la tierce personne. Le principe 11.4, paragraphe a, souligne que l’adoption de telles mesures, en tant qu’alternative à la protection par le droit interne, dépend du fait que la personne concernée ait été informée de la possibilité que ses données pourraient être communiquées à des tierces personnes situées dans des pays non dotés de dispositions de protection des données, lui donnant ainsi la possibilité de s’opposer à la communication.

195. Deuxièmement, les rédacteurs de la recommandation ont suggéré que la communication pourrait intervenir si la personne concernée y a consenti et a donc accepté la responsabilité des circonstances envisagées pour la communication de ses données médicales en dehors du territoire dont relève la personne concernée et dans un pays où il est impossible de contrôler l’avenir des données.

196. Le principe 11.5 recommande qu’en cas de flux transfrontières des mesures additionnelles soient prises pour la sécurité des données. L’exportateur des données devrait dans de tels cas indiquer les finalités pour lesquelles les données ont été collectées et les personnes auxquelles elles peuvent être communiquées. Le destinataire devrait s’engager à respecter ces finalités et ne pas communiquer les données à d’autres personnes ou organismes, sauf si le droit interne l’y oblige (par exemple en cas d’enquête pénale). Il est clair que de telles mesures additionnelles ne peuvent être exigées dans des cas d’urgence, et sont superflues lorsque la personne concernée a elle-même accepté le transfert.

12. Recherche scientifique sur la base de données médicales

197. Bien que la recommandation ne s’y réfère pas explicitement, l’exigence dans l’article 5 de la convention que les données à caractère personnel faisant l’objet d’un traitement automatisé doivent être adéquates, pertinentes et non excessives s’applique également aux recherches médicales: seules les données nécessaires aux fins de telles recherches devraient être utilisées.

198. La première mesure de protection des données médicales utilisées à des fins de recherche scientifique, réclamée par le principe 12.1, est l’anonymisation de ces données. Pour cette raison, il est demandé aux chercheurs et aux autorités publiques concernées de développer des techniques d’anonymisation.

199. La deuxième mesure de protection préconisée par la recommandation consiste en un système de contrôle sur les projets de recherche envisagés, qui prend comme point de départ les conditions relatives à la qualité des données énoncées à l’article 5.b et c de la convention (principe 12.4; voir paragraphes 211-212 ci-après).

200. La nature ou les objectifs de certains projets de recherche ne permettent pas toujours d’utiliser des données anonymes. Dans ces cas, en vertu du principe 12.2, des données à caractère personnel peuvent être utilisées si les finalités du projet de recherche sont légitimes et si l’une des conditions énumérées est remplie.

201. Premièrement, les données à caractère personnel peuvent être utilisées pour la recherche médicale si la personne concernée a été dûment informée du projet de la recherche - ou au moins si les dispositions sur l’information contenues au chapitre 5 ont été respectées - et a consenti à ce projet précis, ou du moins aux finalités de la recherche médicale (alinéa a).

202. Deuxièmement, dans le cas d’un incapable légal, ce consentement doit avoir été donné conformément au principe 6.4 et le projet de recherche doit avoir un rapport avec la condition médicale ou une maladie de la personne concernée (alinéa b).

Les rédacteurs de la recommandation sont convenus que tout consentement donné au nom d’un incapable légal ne devrait pas être motivé par un intérêt matériel, mais que toute exigence explicite dans ce sens tomberait en dehors du champ d’application de la recommandation.

203. Troisièmement, il peut se produire des cas dans lesquels on ne peut pas trouver la personne concernée ou dans lesquels, pour d’autres raisons, il est raisonnablement impossible d’obtenir le consentement de la personne même (dans le cas d’une épidémie, par exemple). Si, dans ces cas, les intérêts du projet de recherche sont tels que la levée de l’exigence du consentement est justifiée - par exemple lorsqu’il s’agit d’un intérêt public important - et sauf si la personne concernée a déjà refusé explicitement toute communication, l’autorisation d’utiliser des données à caractère personnel peut être donnée par l’organisme ou les organismes désignés par le droit interne et compétents dans le domaine de la protection des données. Les rédacteurs de la recommandation sont convenus que cette autorisation ne devrait pas toutefois être donnée de manière globale mais au cas par cas; de plus, les données médicales ne devraient être utilisées que pour des projets de recherche médicale définis par cet organisme et non pour d’autres projets de même nature (alinéa c).

204. L’autorisation, par l’organisme désigné, d’une communication de données médicales aux fins d’un projet de recherche médicale dépend également d’autres facteurs implicites à l’esprit de la recommandation, ou explicitement énoncés dans le présent principe ou dans d’autres principes:

a. l’existence de méthodes alternatives pour la recherche envisagée;

b. la signification d’un intérêt public important de l’objet de la recherche, par exemple dans le domaine de l’épidémiologie, de la pharmacovigilance ou de l’évaluation clinique des médicaments;

c. les mesures de sécurité envisagées pour protéger la vie privée;

d. la nécessité de faire intrusion dans la vie privée de la personne concernée.

205. Par ailleurs, les rédacteurs de la recommandation ont précisé que l’opposition de la personne concernée ne doit pas forcément intervenir avant la communication de ses données médicales; elle pourrait aussi faire recours contre l’autorisation donnée par l’organisme, à condition toutefois qu’un tel recours ne compromette pas l’ensemble de la recherche. Les modalités d’un tel recours dépendraient du système prévu en droit interne (autorité chargée de la protection des données, comité éthique, tribunal, etc.).

206. Les rédacteurs de la recommandation sont convenus qu’à l’alinéa c.ii il n’est pas nécessaire de faire des efforts raisonnables dans tous les cas; la personne responsable doit cependant considérer si, avec des efforts raisonnables, il serait réalisable de contacter toutes les personnes concernées. Dans l’affirmative, la personne responsable doit alors faire ces efforts.

D’autre part, il a été entendu que la recherche du consentement de la personne concernée pour des recherches médicales constituerait une exigence déraisonnable pour un institut de recherches, et relèverait plutôt de la responsabilité de la personne ou de l’organisme qui envisage la communication des données médicales.

207. L’expression “disclosure of data” à l’alinéa c dans la version anglaise a été traduite par “communication des données”. Tout en admettant que cette traduction ne reflète pas entièrement l’expression anglaise, les rédacteurs de la recommandation sont convenus que le sens à donner à ce principe est de soumettre à une autorisation préalable dans les conditions décrites, non seulement toute utilisation, mais aussi toute transmission de données à des fins de recherche médicale.

208. Enfin, la recherche médicale peut être fondée sur des données à caractère personnel, sans le consentement de la personne concernée, si la recherche est prévue par la loi (pas nécessairement “explicitement autorisée”) et constitue une mesure nécessaire pour des raisons de santé publique, y compris la recherche thérapeutique (alinéa d).

En raison de la protection plus stricte des données médicales exigée par l’article 6 de la convention, l’alinéa d, en autorisant ces exceptions, est moins flexible que l’article 9 de la convention.

209. Comme indiqué au paragraphe 75 ci-dessus, les rédacteurs de la recommandation ont noté que par “loi”, à l’alinéa d, il fallait entendre tout règlement obligatoire, que ce soit une législation générale ou une réglementation, par exemple un décret d’application, aussi longtemps que le règlement est fondé sur le droit interne et suffisamment accessible et prévisible (voir la jurisprudence de la Cour européenne des Droits de l’Homme).

210. Le principe 12.3 reconnaît que les médecins et les organismes médicaux habilités à mener leurs propres recherches devraient être autorisés à utiliser pour leurs propres recherches les données médicales qu’ils ont eux-mêmes collectées si les personnes concernées ont été informées et à condition qu’elles ne s’y soient pas opposées, c’est-à-dire si elles ont été informées que l’une des finalités de la collecte sera la recherche médicale. Les conditions complémentaires peuvent en particulier consister en le consentement de la personne concernée ou en une autorisation du droit interne ou d’une instance de contrôle, autorisation donnée à des fins de santé publique.

211. La recherche médicale à l’aide de données à caractère personnel peut soulever des questions de protection des données - qui font l’objet de la recommandation - mais aussi des problèmes incidents de nature éthique et scientifique, tels que:

a. la nécessité d’une recherche comportant des données à caractère personnel;

b. l’adéquation des données à collecter pour un projet précis de recherche;

c. le caractère exhaustif du projet de recherche;

d. le traitement des données relatives à l’enfant à naître ou à la personne décédée;

e. l’information du patient et de sa famille;

f. les modalités de collecte des données;

g. la communication des résultats de la recherche.

212. En fonction du droit interne, ces questions peuvent devoir être résolues de préférence à l’avance par un ou plusieurs organismes spécifiques désignés par la loi et responsables de ces questions selon leurs compétences dans leurs domaines respectifs. Les rédacteurs de la recommandation ont estimé qu’il n’entrait pas dans le champ d’application de la recommandation d’aborder de telles questions éthiques et scientifiques soulevées par la recherche médicale, ou de désigner des organismes chargés de résoudre ces questions. Ils se sont référés simplement au droit national qui, dans le cas de plusieurs organismes, devrait répartir les responsabilités et assurer une coordination.

C’est pourquoi le principe 12.4 exige simplement que de telles questions éthiques ou scientifiques soient examinées en dehors du champ de la protection des données, à la lumière des autres instruments pertinents dans les domaines éthique et scientifique.

213. Par “caractère exhaustif du projet de recherche” à l’alinéa c du paragraphe précédent, les rédacteurs de la recommandation avaient à l’esprit un projet qui nécessite la collecte des données médicales de toutes les personnes concernées par ces recherches, qu’elles y consentent ou non. En effet, pour être efficaces certaines recherches épidémiologiques dépendent de l’enregistrement des données relatives à tous les malades atteints.

214. Le principe général de finalité spécifique s’applique en particulier au traitement de données à caractère personnel à des fins de recherche: ces données collectées, traitées ou transmises pour un projet déterminé ne devraient pas être utilisées pour une autre recherche ou à des fins autres que celles pour lesquelles le consentement ou l’autorisation a été donné(e) en vertu du principe 12.2. Si le deuxième projet de recherche, pour lequel les données n’ont pas été collectées, ou le consentement ou l’autorisation n’a pas été donné(e), est substantiellement différent du premier projet, alors toute la procédure définie au chapitre 12 devrait être à nouveau suivie.

215. Même s’il semble évident que la possibilité d’utiliser des données à caractère personnel pour la recherche médicale ne signifie pas que les résultats de la recherche peuvent être publiés sous une forme permettant l’identification des personnes concernées, les rédacteurs de la recommandation ont estimé qu’il était judicieux, en raison de la nature sensible des données médicales, de souligner cette exigence au principe 12.5. Dans certains Etats membres, la publication de données médicales est néanmoins interdite, même si la personne concernée a donné son consentement.

–––

(1) Hereafter referred to as “la convention”.

(2) Resolution (73) 22 on the protection of the privacy of individuals vis-à-vis electronic data banks in the private sector; Resolution (74) 29 on the protection of the privacy of individuals vis-à-vis electronic data banks in the public sector.

(3) Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (Strasbourg, 28 January 1981, ETS No. 108). At the time of publication of this explanatory memorandum, seventeen states had ratified the convention: Austria, Belgium, Denmark, Finland, France, Germany, Greece, Iceland, Ireland, Luxembourg, Netherlands, Norway, Portugal, Slovenia, Spain, Sweden and United Kingdom.


Documentos internacionales - Comité de Ministros del Consejo de EuropaDocumentos relacionados  Versión PDF 
raya
Universidad de Navarra | Departamento de Humanidades Biomédicas | Centro de Documentación Anterior Siguiente Imprimir Enviar por correo
EspacioarribaEspacioIrunlarrea, 1. 31008 - Pamplona. España. Tf: +34 948 425600 Fax: +34 948 425630 Correo E: apardo@unav.es
Visitante númerodesde el 25-II-2002