Le projet de loi santé renommé par la commission “Projet de loi de modernisation de notre système de santé” comporte un chapitre relatif à la création des conditions ‘un accès ouvert aux données de santé.
Le gouvernement entend concilier l’accès aux données de santé en assurant le respect de la confidentialité des données personnelles. L’objectif est de permettre l’utilisation des données “dans l’intérêt de la collectivité”.
Dans le domaine de la mise à disposition des données publiques, l’Union européenne est déjà à l’origine de directives auxquelles le droit français doit s’adapter en les transposant.
Le droit européen en faveur de l’ouverture des données dans le strict respect de la vie privée
La directive 95/46/CE du 24 octobre 1995, transposée en droit français, établit les conditions à respecter pour que tout traitement de données à caractère personnel ainsi que la libre circulation de ces données soit conforme à la protection des personnes physiques. Si l’article 8 de la directive pose le principe de l’interdiction des traitements de données relatives à la santé, cette interdiction peut être levée si la personne a donné son consentement explicite ou bien si le traitement est nécessaire à la défense des intérêts vitaux de la personne.
La directive 2003/98/CE du 17 novembre 2003 concernant la réutilisation des informations du secteur public, également transposée en droit français, prévoit le développement d’une réutilisation plus répandue des documents détenus par des organismes du secteur public des Etats membres. Il est précisément inscrit dans la directive qu’elle “laisse intact et n’affecte en rien le niveau de protection des personnes à l’égard du traitement des données à caractère personnel garanti par les dispositions du droit communautaire et du droit national et, en particulier, ne modifie en rien les droits et obligations prévus dans la directive 95/46/CE”. Cette directive a engagé un mouvement d’ouverture des données détenues par les organismes du secteur public des Etats membres mais est restée très prudente sur les données à caractère personnel.
La directive de 2013/37/UE du 26 juin 2013 est venue modifier la directive 2003/98/CE. Elle a pour objet de “faciliter la création à l’échelle de l’Union de produits et de services d’information basés sur des documents émanant du secteur public”, elle garantit également l’usage transfrontalier “des documents du secteur public, d’un côté par des entreprises privées en vue de créer des produits et des services d’information à valeur ajoutée, et de l’autre par des citoyens pour faciliter la libre circulation des informations et la communication”.
Cette dernière directive a apporté des modifications substantielles au texte initial en prévoyant que sa mise en œuvre doit avoir lieu dans le respect total des principes relatifs à la protection des données à caractère personnel. La directive précise que les Etats membres doivent déterminer les conditions dans lesquelles le traitement de données à caractère personnel est licite.
Le nouvel article un de la directive 2003/98/CE dispose ainsi que le texte ne s’applique pas aux “documents dont l’accès est exclu ou limité en application de règles d’accès pour des motifs de protection des données à caractère personnel, et aux parties de documents accessibles en vertu desdites règles qui contiennent des données à caractère personnel dont la réutilisation a été définie par la loi comme étant incompatible avec la législation concernant la protection des personnes physiques à l’égard du traitement des données à caractère personnel”. Cette rédaction permet à chaque Etat membre de ne pas permettre l’accès aux documents qui pourraient contenir des données personnelles susceptibles dont la réutilisation est susceptible de contrevenir au respect de la vie privée des individus.
La directive 2013/37/UE a également modifié les dispositions relatives à la tarification et à la transparence. Si l’utilisation de documents est soumise à redevance, cette dernière doit être limitées aux coûts marginaux de reproduction, de mise à disposition et de diffusion, sauf en ce qui concerne les “documents pour lesquels l’organisme du secteur public concerné est tenu de générer des recettes suffisantes pour couvrir une part substantielle des coûts afférents à leur collecte, à leur production, à leur reproduction et à leur diffusion“. L’UE prévoit donc des cas où la redevance peut être supérieure aux simples coûts résultants de l’ouverture des données détenues par l’administration.
S’agissant de la transparence, l’article 7 modifié de la directive 2003/98/CE prévoit qu’en cas de redevance en matière de réutilisation de documents détenus par des organisme du secteur public, “les conditions applicables et le montant effectif desdites redevances, y compris la base de calcul utilisée pour lesdites redevances, sont fixés à l’avance et publiés, dans la mesure du possible et s’il y a lieu, sous forme électronique“. Pour les redevances applicables à toute autre réutilisation que celle “l’organisme du secteur public concerné indique d’emblée quels facteurs sont pris en compte dans le calcul desdites redevances. Sur demande, l’organisme du secteur public concerné indique également la manière dont lesdites redevances ont été calculées dans le cadre de la demande particulière de réutilisation“. La directive envisage donc qu’en cas de mise en place d’une redevance, les demandeurs de documents détenus par les organismes du secteur public puissent savoir comment cette redevance a été calculée.
Le projet de loi santé très attaché à la protection des données personnelles de santé
L’article 47 du projet de loi relatif à la santé est très détaillé sur les mécanismes de mise en œuvre d’une ouverture des bases d’informations.
Le gouvernement maintient toutes les précautions pour ne pas risquer de porter atteinte à la protection de la vie privée des individus dont les informations en santé sont récoltées par l’administration.
Le texte précise bien, conformément à la directive, les conditions dans lesquelles les données personnelles de santé sont mises à disposition de tous, et dans quel contexte, un accès à des données plus sensibles, car réidentifiantes, peuvent devenir accessible. Ce procédé est bien conforme au droit de l’Union européenne en ce qu’il envisage l’ouverture de données de santé dans le respect de la protection de ces données à caractère personnel. L’Etat français est fondé à proposer une protection spécifique et une ouverture conditionnée à ce type de documents détenus par les organismes du secteur public.
Cependant le projet de loi prévoit également que l’accès à des données qui comporteraient encore un risque d’identification est gratuit pour “les recherches, les études ou les évaluations demandées par l’autorité publique” et pour “les recherches réalisées exclusivement pour les besoins de services publics administratifs“. Cela pourrait induire que ce type d’accès sera payant pour les autres demandeurs. Or, contrairement à ce que précise la directive 2013/37/UE, le projet de loi ne mentionne aucune disposition relative à une quelconque redevance et encore moins aux modalités de calcul. Il sera nécessaire de clarifier ce point lors des discussions à l’Assemblée nationale, à défaut, la loi française devra tôt ou tard se mettre en conformité avec la directive européenne du 26 juin 2013.
Globalement, le projet de loi relatif à la santé suit donc la directive européenne concernant la réutilisation des documents détenus par le secteur public. Les exceptions prévues par l’Union européenne pour le respect de la vie privée des individus permettent au gouvernement d’avancer avec précaution sur le terrain de l’ouverture de ses bases de données en santé.
