La question des données de santé est très présente dans projet de loi adaptant le droit français au RGPD (Règlement général relatif à la protection des données). Ce projet, dont la rapporteure est Paula Forteza, est en cours de discussions à l’Assemblée nationale depuis le 6 février et les débats qui se sont tenus ont montré que l’attitude des politiques est plutôt favorable à la facilitation des traitements de données de santé à caractère personnel par les entreprises.
Les complémentaires santé à égalité avec l’assurance maladie
Lors des discussions relatives aux amendements à apporter au projet de loi modifiant le droit français (plus particulièrement la loi relative à l’informatique et aux libertés du 6 janvier 1978), la garde des sceaux, Nicole Belloubet, a défendu un amendement qui intéressera les organismes de complémentaire santé. Cet amendement (le n°128) permet aux traitements effectués par les organismes de complémentaire santé, dans le cadre de leurs missions de prise en charge des prestations, d’entrer dans la liste très fermée des traitements autorisés par dérogation par l’article 9 du RGPD, et par l’article 53 de la loi « informatique et aux libertés » tel que modifié par le projet de loi.
L’entrée des organismes de complémentaire santé dans cette liste leur permet ainsi de ne pas avoir à effectuer toutes les démarches prévues par le chapitre IX de la loi « informatique et libertés ». Leur mission de prise en charge des frais de santé s’en trouve, dès lors, hautement simplifiée.
Le gouvernement défend la démocratisation des traitements de données de santé
Le nouveau chapitre IX de la loi « informatique et libertés » met en place de nouvelles mesures relatives aux traitements de données de santé à caractère personnel. Au lieu de l’obligation d’obtenir une autorisation de traitement préalable, le projet de loi crée un système de déclaration de conformité à des référentiels ou des règlements types édictés par la Commission nationale de l’informatique et des libertés ainsi que par l’Institut national des données de santé (INDS) et par des « organismes publics et privés représentatifs des acteurs concernés » (une formule bien vague…).
En d’autres termes, le responsable d’un traitement de données de santé devra déclarer le traitement envisagé conforme aux référentiels et règlements types auprès de la CNIL. Si une telle déclaration de conformité n’est pas effectuée, alors une autorisation spécifique de la CNIL pour la mise en oeuvre du traitement devra être sollicitée.
Par ailleurs, la CNIL disposera d’un pouvoir de contrôle et de sanction a posteriori sur tous les traitements de données de santé à caractère personnel mis en oeuvre.
Au cours des discussions à l’Assemblée nationale, le député Eric Coquerel a proposé la suppression pure et simple de cette nouvelle rédaction du chapitre IX de la loi « informatique et libertés ». Il voit dans ce mécanisme de déclaration de conformité sans contrôle préalable un danger pour la protection de la vie privée, et un affaiblissement des pouvoirs de la CNIL.
Cependant, Nicole Belloubet, garde des sceaux, et Paula Forteza, rapporteure, soutiennent le projet de loi et se défendent de toute tendance à la libéralisation. L’amendement n’est donc pas adopté.
Le débat tourne en faveur de l’accès des entreprises aux données de santé
Plusieurs amendements sont discutés pour rassurer les entreprises, grandes ou petites, sur leurs capacités futures à traiter des données de santé. Ainsi, Paule Forteza et Cédric Villani obtiennent l’ajout d’une précision de taille : la finalité d’intérêt public, requise pour pouvoir traiter des données de santé à caractère personnel, inclut bien « la garantie de normes élevées de qualité et de sécurité des soins de santé, et des médicaments ou des dispositifs médicaux » (voir l’amendement n°125 notamment).
Une discussion a également eu lieu concernant l’intervention de l’INDS pour se prononcer sur le caractère d’intérêt public d’un traitement mis en place dans le cadre du nouveau chapitre IX de la loi « informatique et libertés ». En effet, actuellement, l’INDS n’intervient sur ce point que pour les traitements de données de santé à caractère personnel effectués à des fins de recherche, d’étude, ou d’évaluation. Dans ce cadre, elle dispose d’un délai de deux mois pour se prononcer.
Or, le projet de loi étendrait l’intervention de l’INDS à tous les types de traitements de données de santé à caractère personnel, ce qui aurait pour effet d’allonger la procédure de deux mois. Comme l’indique Paula Forteza, « dans le secteur de la santé, de nombreuses start-up […] ont besoin d’avoir un accès facilité à ces données à titre expérimental, pour tester de nouvelles applications ou de nouveaux services. Or les délais sont trop contraignants pour cet écosystème en ébullition et nous risquons de perdre des talents, qui vont préférer partir aux États-Unis ou en Angleterre. La France risque donc d’être affaiblie, alors même qu’elle pourrait devenir un leader dans ce domaine« .
Cédric Villani ajoute également que « tous s’accordent à dire que le droit actuel est plutôt trop contraignant et qu’il importe de raccourcir les délais et de simplifier les procédures. Puisque l’ensemble du projet de loi maintient un haut niveau de protection, un renforcement du rôle de l’INDS irait à contre-courant de l’objectif qui est recherché« .
Les députés décident de la suppression de ces dispositions et de revenir à l’ancienne rédaction : l’INDS ne pourra donc donner son avis sur le caractère d’intérêt public que pour les traitements réalisés à des fins de recherche, d’étude ou d’évaluation.
La vision des défenseurs du projet de loi est visiblement tournée vers une démarche favorable aux entreprises en leur permettant d’effectuer plus facilement, et plus rapidement, des traitements de données de santé à caractère personnel dans un intérêt public.
