Le mastodonte législatif appelé Health Insurance Portability and Accountability Act of 1996 (HIPAA) a fini par faire une entrée chancelante dans les bureaux des médecins américains en avril en les obligeant à se conformer à un ensemble compliqué de règlements régissant la protection des renseignements personnels sur la santé des patients. Invention de l'administration Clinton, la HIPAA, et plus précisément la «Règle sur la vie privée» qui l'accompagne, a subi depuis des modifications qui l'ont dégriffée un peu1. Son tour de taille administratif, qui atteint 90 pages, intimide toutefois. Comme le signale un commentateur, il est probable que sa mise en œuvre «sera coûteuse, incohérente et frustrante à la fois pour les médecins et pour les patients»2. La formation, la création de nouveaux processus administratifs et systèmes de suivi, de même que l'apparition d'une industrie d'experts- conseils en HIPAA, alourdissent considérablement les coûts d'un système de santé déjà onéreux3.
On pourra soutenir que la règle sur protection de la vie privée de la HIPAA porte bien plus sur les dossiers des patients que sur les patients eux-mêmes. Ce n'est pas une définition a priori des droits à la vie privée : il s'agit plutôt d'une série de normes procédurales sur la gestion de l'information — les éléments de données issus du patient numérisé et transmis aux régimes d'assurance. Pour reprendre la terminologie de la règle, «l'entité couverte», ce n'est pas le patient : c'est plutôt la personne ou l'organisme qui se charge des opérations de facturation. Si la HIPPA est un hippopotame, le patient est une chimère administrative constituée «d'identificateurs» possibles. Il est à peine question du patient en chair et en os que l'on retrouve au cabinet du médecin, même si un document d'orientation traite de l'importance des «mesures de sauvegarde raisonnables» pour bien protéger la vie privée et d'autres décorums dans les hôpitaux et les cliniques4.
Même si l'évolution de la législation en matière de protection des renseignements personnels sur la santé au Canada a suscité moins de crainte que la HIPAA aux États-Unis, il s'agit chez nous aussi d'une créature maladroite qui a les mêmes origines. Mesure fédérale, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE; 1999) émane en grande partie de la mise au point de technologies nouvelles qui permettent de suivre notre identité ou nos activités : comme l'a déjà prévenu le commissaire à la protection de la vie privée, il est maintenant possible de regrouper en un seul «superdossier» qui pourrait être nuisible à toutes nos activités quotidiennes, aussi innocentes soient-elles5. Lorsque la LPRPDE est apparue à l'horizon législatif (elle s'appliquera entièrement aux renseignements sur la santé à compter de janvier 2004), l'AMC s'est tournée vers le principe traditionnel selon lequel les médecins sont les gardiens des clés de la confidentialité et a produit un Code de protection des renseignements personnels sur la santé (1998), document stratégique où elle affirme le «caractère spécial» des renseignements sur la santé6.
Au moment où les provinces cherchent à harmoniser leur législation avec la LPRPDE, le consentement du patient à la collecte et à l'utilisation de ses renseignements médicaux s'est révélé un des enjeux les plus subtils7. Il reste à voir avec quelle rigueur le commissaire fédéral à la protection de la vie privée interprétera la LPRPDE. Faudra-t-il informer les patients de leurs droits à la vie privée au cours de chaque «épisode de soins»? Faudra-t-il les prévenir de chaque utilisation nouvelle ou imprévue que l'on fera de leurs renseignements personnels? Quel consentement doit être explicite et lequel peut-être implicite? Ce n'est pas un mastodonte qui fait son apparition dans les cabinets de médecins du Canada : c'est plutôt toute une horde de lois, de règlements, de lignes directrices, d'énoncés de principes, de formulaires de consentement et de trousses d'outils.
Les exigences relatives au consentement du patient — qui vont du consentement implicite à l'utilisation de ses antécédents médicaux pour guider le traitement jusqu'au consentement éclairé à l'utilisation de renseignements sur le cas (p. ex., radiographies) dans l'enseignement et de données anonymisées dans la recherche, en passant par le consentement explicite à la divulgation de résultats de tests génétiques — reposent sur un consensus dégagé par la société au sujet de la valeur de l'autonomie du patient, de la «propriété» des renseignements personnels, du besoin de rapidité et d'efficience, sans oublier l'importance des programmes de recherche et de la santé publique. Ces enjeux ne sont pas bénins et il faut prendre au sérieux la possibilité qu'on utilise des renseignements personnels à mauvais escient. Pendant que les législateurs précisent les façons de gérer la question des «renseignements protégés sur la santé», espérons toutefois que les médecins continuent de considérer leurs patients comme un tout. Ce dont ils n'ont pas besoin, c'est d'un hippopotame pour leur rappeler de discuter de leurs patients dans des endroits plus privés que les ascenseurs et les couloirs, de déposer les dossiers là où les visiteurs ne peuvent les lire et d'assurer que l'étranger qui attend dans la salle voisine n'entend pas les renseignements privés divulgués. — JAMC