Sécurité et confidentialité

Les systèmes de surveillance du VIH collectent, conservent et exploitent les informations sanitaires personnelles retenues dans l’intérêt public. Il existe néanmoins un risque de divulgation sans consentement de ces mêmes informations que ce soit de manière directe ou indirecte (par déduction), ce qui pourrait avoir des répercussions négatives sur les patients dont l’infection à VIH a été diagnostiquée. Par ailleurs les données relatives au mode de transmission pour les personnes dont le comportement constitue une infraction pénale, tel que les hommes qui ont des rapports sexuels avec d’autres hommes, les professionnels du sexe et les consommateurs de drogue, pourraient être exploitées pour les identifier, les interroger, les arrêter et les maintenir en détention.

Toute divulgation d’informations par inadvertance peut également nuire aux relations entre les autorités chargées de la surveillance du VIH et les populations. C’est la raison pour laquelle les systèmes de surveillance doivent veiller à ce que les règles de confidentialité ne soient pas violées, et que les données soient conservées en toute sécurité.

La Section 3.3 (Lois, règlements et politiques) rappelle la nécessité d'instaurer un cadre juridique et politique pour accompagner la surveillance des cas de VIH, y compris des mesures de protection de la confidentialité et de la vie privée du patient (38,39). Un tel cadre doit également veiller à ce que les données agrégées de routine produites par les programmes de surveillance soient conçues de telle sorte qu'il n'y ait pas de risque de divulgation par déduction, de la séropositivité d'une personne, de son orientation sexuelle, de son activité de professionnel(le) du sexe ou de sa consommation de drogues.

Il est recommandé que toutes les organisations du système de santé d'un pays se dotent d'un fonctionnaire chargé de la confidentialité et de la sécurité des informations et d'assurer la protection de la vie privée du patient et de la sécurité des données au sein de l'organisation.

Pour la surveillance des cas de VIH, le Ministère de la Santé doit définir les politiques et normes pour la collecte, la conservation, le transfert et l'utilisation des données de surveillance, et revoir régulièrement ces dernières pour s'assurer qu'elles soient au diapason des évolutions technologiques, et de l'environnement socio-politique. Le fonctionnaire chargé de la

confidentialité et de la sécurité au sein de chaque organisation doit s’occuper de la mise en œuvre des politiques et normes de sécurité des données et de la conformité de l’organisation à ces dernières. Les politiques recommandées en matière de sécurité et de confidentialité qui doivent s'appliquer à toutes les personnes intervenant dans la collecte, la conservation et l'utilisation des données de surveillance du VIH, sont décrites ci-dessous.

Politiques

Il convient de formuler des politiques et procédures écrites et de les diffuser à tous les membres du personnel qui gèrent des données de surveillance des patients dans les sites de déclaration, et au niveau local et national. Ces politiques et procédures doivent tenir compte de tous les textes de loi et règlements qui régissent le système de surveillance. La sécurité et la confidentialité des politiques et procédures en matière de surveillance des cas de VIH doivent comprendre les éléments suivants :

• une description des données collectées, en accordant une attention particulière aux informations susceptibles d’identifier tout cas d’infection à VIH ;

• les fonctions et attributions de tous les membres du personnel susceptibles d’obtenir, de transférer, de gérer ou d’utiliser les données de surveillance ;

• des accords de confidentialité dans lesquels tous les membres du personnel intervenant dans la surveillance des cas de VIH confirment avoir connaissance des politiques et procédures en matière de sécurité et de confidentialité, et s’engagent à s'y conformer ;

• des contrôles pour garantir la sécurité des données physiques et électroniques, y compris les déclarations de cas, les dispositifs de saisie de données, et les systèmes et méthodes utilisés pour acheminer, transférer, conserver et exploiter les données de surveillance ;

• une description des personnes exerçant une responsabilité vis-à-vis des données

(par exemple, programme national, programme de surveillance infranational, programme de suivi et d'évaluation de l’infection à VIH), si les données peuvent être partagées entre les programmes et, dans l’affirmative, le mécanisme permettant de partager les données, en précisant quelles données sont partageables, quand, comment, par qui, ainsi que les formats dans lesquels elles peuvent être partagées (par exemple, sous forme agrégée, au niveau individuel sans identifiants ou avec identifiants, etc.) ;

• une obligation de signalement sans délai de toute violation des politiques ou procédures de sécurité au fonctionnaire chargé de la sécurité et de la confidentialité ; ceci fera rapidement l'objet d'une enquête afin de réduire les risques de répercussions indésirables, et de prendre des mesures correctives appropriées et/ou les mesures disciplinaires qui s'imposent pour éviter que cela ne se reproduise ;

• l’exigence d’organiser au moins une fois par an, une formation sur la sécurité et la confidentialité au profit de tous les employés ayant accès aux données de surveillance ;

• les politiques, les procédures et les systèmes à l'appui de la surveillance des cas de VIH doivent être examinés et validés, si possible de manière indépendante, ce qui inclut une évaluation indépendante des vulnérabilités de sécurité de toutes les composantes informatiques.

Recommandations pour la collecte, la conservation et l'utilisation des données

• Collecter les données minimum requises pour atteindre les objectifs du programme.

• Appliquer les normes de sécurité les plus élevées pour la collecte, la conservation et l'utilisation des données personnelles.

• Restreindre la communication ou le partage de données d'identification personnelle aux personnes qui en ont besoin dans un intérêt de santé publique (par exemple, les communiquer au programme de surveillance de la tuberculose à des fins programmatiques).

• Veiller à ce que tout programme recevant des données de surveillance des cas d'infection à VIH respecte des normes similaires voire plus élevées que celles du programme de surveillance.

• Analyser les données de manière dépersonnalisée et les diffuser en bloc en incluant un nombre suffisamment important de données dans chaque catégorie pour éviter toute possibilité

d'identification accidentelle. Les données agrégées au niveau national doivent être confidentielles, employer un identifiant unique, et protéger contre toute identification des individus.

• Lorsque les documents papier ne sont plus nécessaires, ils doivent être détruits à l’aide de déchiqueteuses et éliminés.

• Restreindre l'accès physique aux zones où des données confidentielles sont conservées, et limiter l'accès des fichiers électroniques au personnel ayant des motifs valables d'utiliser les données.

• Lors de l’acheminement de données personnelles par messager, exiger que les documents (papier ou électroniques) soient conservés en tout temps auprès des services de courrier jusqu'à ce qu'ils soient livrés au programme de surveillance.

• Tenir compte des réalités locales et de la sensibilité des informations relatives au mode de transmission ou aux comportements à risque, tels que l'activité sexuelle entre personnes de même sexe, la consommation de drogues illicites et le commerce du sexe.

Sécurité des données informatisées

• Utiliser la technologie pour restreindre l'accès des données au personnel autorisé (par exemple en exigeant un nom d’utilisateur et un mot de passe, et/ou un code d'identification personnel sur les ordinateurs à accès restreint).

• Conserver les données de surveillance dans un ordinateur ou un réseau sécurisé, et les coder lorsqu’elles ne sont pas utilisées.

• Coder les données personnelles identifiables lorsque la transmission est nécessaire.

• S'assurer que tous les appareils mobiles utilisés pour la déclaration de cas (par exemple, les smartphones, tablettes, ordinateurs portables) soient dotés d’un accès restreint, d'une possibilité de crypter les données, d’un dispositif de contrôle automatique permettant de détecter et de signaler les violations des politiques, d’une fonction de nettoyage/suppression avant réutilisation, d’une fonction d'authentification avant utilisation, de la possibilité de réinitialiser les mots de passe à distance, de dispositifs de verrouillage automatique en cas d'inactivité, d’une fonction de restriction de l'accès aux applications aux utilisateurs autorisés, et de la possibilité de limiter l'utilisation pour des activités autres que la saisie des données pour la déclaration de cas. Les appareils mobiles doivent être testés à l'aide de données d'essai non confidentielles avant leur utilisation sur le terrain. Les données ne doivent pas être conservées de façon permanente sur ces appareils. Les données doivent être collectées et transférées à la base de données de surveillance, puis effacées de l'appareil mobile le plus rapidement possible.

• Utiliser des méthodes sécurisées pour la transmission de données, telles que les réseaux de données sécurisés, les réseaux privés virtuels et les protocoles sécurisés de transport de fichiers. À défaut, crypter les données avant transmission. Les téléphones mobiles et assistants numériques personnels ne peuvent pas transmettre des données en toute sécurité.

• Utiliser des données dépersonnalisées pour l’analyse.

• Crypter les fichiers de sauvegarde et les conserver dans un endroit sûr en dehors du programme de surveillance afin de prévenir la perte de données due à des dégâts matériels (par exemple, incendie, inondation).

• Il est déconseillé de transmettre des données personnelles par courrier électronique. Si c'est la seule option possible dans certains contextes, les données doivent être cryptées.

• Évaluer les composantes informatiques afin de rechercher les failles de sécurité en faisant faire une analyse par une partie tierce.

Sécurité physique

Les données de surveillance des cas d'infection à VIH doivent être conservées en lieu sûr, auquel seul le personnel autorisé a accès. La sécurité peut être assurée par des systèmes d'alarme, des gardes de sécurité, des caméras vidéo et des verrous. L'accès au bureau du programme de surveillance doit être restreint au personnel autorisé.

3.4.12 Méthodes d’évaluation de la performance et normes de