Confidentialité et sécurité pour les applications de télémédecine en droit européen

L’auteur traite ici de la télémédecine, une sorte d’application des technologies de l’information et de la communication aux activités du secteur des soins de santé. Il fait d’abord état des nombreux produits et services qu’offre cette application, allant de la prise de rendez-vous chez le médecin grâce à l’informatique, aux vêtements dits intelligents et qui sont munis de capteurs permettant la délivrance à distance des médicaments directement au patient. Le nombre d’applications de la télémédecine étant quasi illimité, nombreuses deviennent les informations à gérer et qui se rapportent tant aux patients qu’au personnel soignant et qu’à leurs collaborateurs. Cela pose évidemment le problème de la confidentialité et de la sécurité se rapportant à de telles applications. C'est justement cette question qui sera traitée par l’auteur qui nous rappelle d’abord l’importance en Europe de l’encadrement juridique de la télémédecine afin d’assurer la protection des données médicales. Une telle protection a surtout été consacrée à travers des directives émanant de la Communauté européenne où la confidentialité et la sécurité des traitements de données ne sont qu’une partie des règles qui assurent la protection des données médicales.

Qualification et quantification de l'obligation de sécurité informationnelle dans la détermination de la faute civile

L'obligation de sécurité informationnelle - c'est-à-dire la tâche qui incombe aux entreprises d'assurer l'intégrité, la confidentialité et la disponibilité de l'information découle, tant en droit québécois que dans une majorité de juridictions occidentales, d'une série de dispositions législatives imposant non pas l'adoption de comportements ou l'utilisation de technologies ou de procédés identifiables, mais bien l'implantation de mesures de sécurité «raisonnables », «adéquates », ou « suffisantes ». Or, dans un domaine aussi embryonnaire et complexe que celui de la sécurité informationnelle, domaine dans lequel les solutions disponibles sont multiples et où la jurisprudence est éparse, comment une entreprise peut-elle jauger avec justesse l'étendue de son obligation? Bref, comment établir ce que ferait une entreprise raisonnablement prudente et diligente dans un domaine où il n'existe actuellement aucune balise législative, jurisprudentielle ou même coutumière permettant de fixer avec justesse le niveau de diligence imposé par le législateur? L'absence de sécurité juridique offerte par une telle situation est patente et nécessite une reconfiguration du cadre opératoire de l'obligation de sécurité informationnelle afin d'en identifier les composantes et les objectifs. Cet exercice passera par la redéfinition de l'obligation de sécurité informationnelle comme obligation de réduire les risques qui guettent l'information à un niveau socialement acceptable. En effet, la sécurité pouvant être définie comme étant la gestion du risque, c'est donc le risque qui réside au cœur de cette obligation. Or, en analysant les risques qui guettent un système, soit en analysant les menaces qui visent à exploiter ses vulnérabilités, il est possible d'établir quelles contre-mesures s'avèrent utiles et les coûts associés à leur mise en œuvre. Par la suite, il devient envisageable, en recourant à la définition économique de la négligence et en prenant compte des probabilités de brèches de sécurité et des dommages escomptés, d'établir les sommes optimales à investir dans l'achat, l'entretien et la mise à jour de ces contre-mesures. Une telle analyse permet ainsi de quantifier avec un certain degré de précision l'étendue de l'obligation de sécurité informationnelle en offrant aux entreprises un outil s'inspirant de données matérielles auxquelles elles ont librement accès et s'intégrant aisément dans le contexte juridique contemporain.

Disclosure of HIV status and stigma in rural communities in Brazil: A conundrum for researchers

Étude de cas / Case study