Le nouveau rapport de l’Institut Montaigne lance des pistes pour réformer la protection sociale en France, notamment par l’utilisation des données. Le groupe de travail à l’origine du rapport est présidé par deux personnalités bien connues : Guillaume Sarkozy (Président de la Fondation Malakoff Médéric Handicap) et Jean-Charles Samuelian (P-DG et co-fondateur d’Alan).
La cinquième et dernière partie du rapport aborde frontalement la question des données personnelles. Sans révolutionner les réflexions déjà menées depuis quelques années sur le sujet, le point de vue des rédacteurs mérite d’être connue.
A titre liminaire, nous pouvons regretter la confusion entretenue dans le rapport entre la notion de « données personnelles », la notion de « données de protection sociale » et celle de « données de santé ». Les auteurs semblent utiliser sans distinction les trois notions alors même qu’une donnée de protection sociale ou une donnée de santé peut parfaitement ne pas avoir de caractère personnel. Rappelons qu’une donnée personnelle est une donnée qui permet d’identifier directement ou indirectement une personne physique.
Une conception liberticide de l’accès aux données
Pour que le système de protection sociale puisse bénéficier des progrès offerts par l’exploitation des données personnelles, les auteurs du rapport soulignent que l’accès doit encore être assez ouvert et sécurisé à la fois. C’est justement l’ouverture sécurisée des données personnelles qui est encore perçue comme contradictoire en France.
Le rapport l’indique d’ailleurs : « les règles applicables aux données sont encore le reflet, en France, d’une conception de l’accès par des tiers aux données rattachables à un individu comme étant de nature « intrusive », voire liberticide ». Bien que les auteurs saluent de récents progrès dans l’accès aux données, notamment aux données de santé (faisant allusion à la réforme du Système national des données de santé, ou SNDS, issue de la loi Touraine du 26 janvier 2016), ils estiment que des améliorations significatives peuvent encore être apportées.
Trois propositions pour accéder aux données
Le rapport, sans grande originalité, propose d’abord d’écarter l’accès aux données si cela doit aboutir à une individualisation de la tarification. Cette proposition n’est en fait qu’une généralisation du principe d’interdiction qui préside déjà à l’utilisation des données de santé issues du SNDS : le dernier alinéa de l’article L. 1461-1 du code de la santé publique dispose effectivement que les données du SNDS ne peuvent être traitées pour « la modification de cotisations ou de primes d’assurance d’un individu ».
En revanche, l’accès et le traitement des données de protection sociale (en reprenant la formule du rapport) devrait être encouragé dès lors qu’il « permet l’individualisation de la gestion du risque dans le cadre d’un financement solidaire efficace et redistributif et s’il améliore l’expérience utilisateur ». Le caractère solidaire du financement viserait-il directement la complémentaire santé collective ? Le doute est permis… La proposition reste très évasive sur son fonctionnement.
Enfin, le rapport propose un contrôle « a posteriori, de façon très punitive et réactive » afin de donner confiance aux citoyens dans le système et de réduire le risque d’abus. Le caractère punitif semble déjà rempli avec l’entrée en vigueur du RGPD qui place les amendes potentielles à un montant fixé entre 20 millions d’euros et 4% du chiffre d’affaires annuel mondial du responsable du traitement. Toutefois, s’agissant de la réactivité, la capacité de la CNIL a contrôler réellement les traitements reste à prouver malgré l’augmentation récente de ses moyens humains.
L’espoir du droit à la portabilité des données
Les auteurs du rapport voient dans le droit à la portabilité des données une nouvelle opportunité sans pareil. Prévu par l’article 20 du RGPD, ce droit permet à tout individu de demander au responsable du traitement de lui faire part de ses données dans un format structuré et lisible. Cependant, ce droit ne sera opposable que si le traitement est fondé sur le consentement de l’individu ou sur une obligation contractuelle.
L’Institut Montaigne voit toutefois dans la portabilité l’occasion de lancer une expérimentation garantissant à chaque citoyen un accès à ses données personnelles. Cet accès serait accompagné d’une sensibilisation de chaque personne aux enjeux et aux opportunités que l’utilisation de leurs données personnelles représente.
S’agissant de l’accès aux données, le rapport de l’Institut Montaigne reste donc assez théorique dans ses propositions. Ces idées désormais semées pourront peut-être germer dans les mois et années à venir.
