Les sénateurs ont achevé leurs discussions relatives au projet de loi adaptant le droit français au RGPD. Nous avons déjà abordé les quelques ajouts effectués au cours de la première journée de débats. L’un des points cruciaux du projet de loi concerne le traitement des données de santé : l’article 13 réécrit entièrement le chapitre IX de la loi informatique et libertés dédié aux « traitements de données à caractère personnel dans le domaine de la santé ».
Au Sénat, deux amendements importants ont été adoptés. L’un d’eux concerne directement les organismes de complémentaire santé.
La loi « RGPD » renforce le contrôle des organismes de complémentaire santé
La nouvelle rédaction de l’article 53 de la loi informatique et libertés commence par dresser la liste des traitements de données de santé qui ne sont pas soumis au respect du chapitre IX de ladite loi. On y trouve notamment les traitements mis en oeuvre afin d’assurer « la prise en charge des prestations par les organismes d’assurance maladie complémentaire ».
Plusieurs sénateurs ont présenté, par la voix de Madame Annie Delmont-Koropoulis, l’amendement n°12 rectifié qui ajoute un détail important dans le projet de loi adaptant le RGPD. Cet amendement a pour objectif de garantir que les complémentaires santé n’utiliserons pas les données de santé pour déterminer des choix thérapeutiques et médicaux ou pour sélectionner les risques.
L’avis défavorable de la ministre de la Justice, Nicole Belloubet n’a pas empêché les sénateurs de voter l’amendement. Le texte est désormais ainsi rédigé :
« les traitements contenant des données concernant la santé des personnes sont soumis aux dispositions du présent chapitre, à l’exception des catégories de traitements suivantes : […] Les traitements mis en œuvre aux fins d’assurer le service des prestations ou le contrôle par les organismes chargés de la gestion d’un régime de base d’assurance maladie ainsi que la prise en charge des prestations par les organismes d’assurance maladie complémentaire ne devant en aucun cas avoir pour fin la détermination des choix thérapeutiques et médicaux et la sélection des risques »
Un comité d’audit du système national des données de santé
L’une des surprises des débats au Sénat concerne l’adoption de l’amendement n°117 relatif à la sécurité des données gérées par le nouveau SNDS (système national des données de santé). Cet amendement a été présenté par le Gouvernement pour créer un comité d’audit du SNDS.
Cela vient très probablement en réponse à la mise en demeure que la CNAMTS vient de recevoir de la CNIL. Cette dernière a donné trois mois à la CNAMTS pour assurer la sécurité des données personnelles de santé traitées dans le cadre du SNIIRAM (système national interrégimes de l’Assurance maladie qui regroupe toutes les données de santé de soins de ville) : elle donc supposée s’être conformée à cette mise en demeure avant l’entrée en vigueur du RGPD le 25 mai 2018.
Le « hic », c’est que la CNAMTS est aussi responsable du nouveau SNDS qui regroupe, pour le moment, les données de soins de ville, les données hospitalières, et les données relatives aux causes de décès. Le Gouvernement ne souhaite certainement pas être pris en défaut concernant la protection des données personnelles de santé.
L’amendement n°117 a donc été adopté et insère un article 64 dans le chapitre IX de la loi informatique et libertés. Ce comité d’audit regroupera les représentants des différents intervenants dans le cadre du SNDS ainsi qu’un représentant des « acteurs privés du domaine de la santé ». Ce comité devra signaler tous les manquements constatés à la CNIL. Il faudra attendre la parution d’un décret pris en Conseil d’Etat pour connaître le détail des modalités de réalisation de ces audits.
Une conséquence importante de ces audits pourrait être la suspension temporaire de l’accès au SNDS ! Etant donné la puissance de cette mesure, Mme Sophie Joissains, rapporteur, regrette que la commission des affaires sociales n’ait pas pu discuter de l’amendement en amont.
Le texte du projet de loi sera maintenant discuté en commission mixte paritaire dont la date de réunion n’est pas encore connue.
Pour préparer votre conformité au RGPD et éviter de payer une amende allant jusqu’à 4% du chiffre d’affaires ou 20 millions d’euros, testez dès maintenant vos connaissances grâce à deux questionnaires ludiques !
