La création du système national des données de santé (SNDS) par la loi Touraine du 26 janvier 2016 devait permettre des accès beaucoup plus fluides aux données de santé de médecine de ville, des hôpitaux, ou encore des causes de décès. Ces accès ne sont permis que dans le cadre de recherches dans le domaine de la santé ayant un intérêt public reconnu.
La réforme qui a conduit aux premiers pas du nouveau système à la fin du mois d’août 2017 s’accompagnait d’un mécanisme d’accès simplifié qui devait permettre d’obtenir des données de santé rapidement, sans autorisation préalable de la CNIL. L’accès simplifié était alors défini à l’article 54 de la loi relative à l’informatique et aux libertés et se décomposait en trois catégories : soit le responsable du traitement se conformait à une méthodologie de référence, soit il bénéficiait d’une décision unique de la CNIL, soit il accédait à des jeux de données agrégées selon des critères strictement définis.
Mais la loi du 20 juin 2018 qui vient de changer la loi relative à l’informatique et aux libertés a bouleversé l’accès simplifié aux données de santé qui n’est plus si simple que ça. Explications.
L’accès simplifié aux données de santé désormais cantonné aux méthodologies de référence ?
En voulant adapter le droit français au nouveau droit européen, le bien-nommé RGPD, le législateur a réécrit intégralement le chapitre IX de la loi relative à l’informatique et aux libertés. Ce chapitre, dédié au traitement des données à caractère personnel dans le domaine de la santé est désormais divisé en deux sections distinctes. La première section concerne tous les types de traitements, la seconde vise spécialement les traitements ayant pour finalité la recherche dans le domaine de la santé : tous les traitements qui ont besoin d’accéder aux données du SNDS pour être mis en oeuvre relèvent donc de cette section 2.
Le seul accès simplifié auquel il est fait référence dans la section 2 est celui qui est effectué au titre d’une méthodologie de référence homologuée par la CNIL. L’article 62 de la loi relative à l’informatique et aux libertés indique spécifiquement que “lorsque le traitement [à des fins de recherche dans le domaine de la santé] est conforme à une méthodologie de référence, il peut être mis en oeuvre, sans autorisation“. On en déduit que l’accès aux données de santé du SNDS peut ne pas faire l’objet d’une autorisation de la CNIL si le responsable du traitement s’engage à être conforme à une méthodologie de référence.
A l’inverse, la section 2 ne parle pas de la possibilité de faire de la recherche en santé sur la base d’une décision unique, ou en se conformant aux critères d’accès à des jeux de données prédéfinis. On peut se demander pourquoi le législateur n’a pas reproduit ces deux opportunités dans les dispositions de la section 2. Si l’on s’en tient à la lettre du texte, il en ressort que seules les méthodologies de référence devraient pouvoir être utilisées pour accéder aux données de santé dans le cadre d’un traitement ayant pour finalité la recherche dans le domaine de la santé.
Il se trouve qu’en réécrivant la loi relative à l’informatique et aux libertés, le législateur a déplacé ou supprimé des dispositions sans vérifier que cela soit cohérent avec les autres dispositions légales.
L’accès aux données de santé agrégées a disparu
La procédure d’accès simplifié aux échantillons et données agrégées, initialement prévue par l’article 54 de la loi relative à l’informatique et aux libertés, a disparu du texte depuis la loi du 20 juin 2018 ! Mais le code de la santé publique continue de faire référence à l’ancienne rédaction car, d’après l’article L. 1462-1 du code de la santé publique, l’Institut national des données de santé (INDS) est censé “faciliter la mise à disposition d’échantillons ou de jeux de données agrégées mentionnées au V dudit article 54“.
Si l’on regarde la nouvelle rédaction du V de l’article 54, celle-ci n’a aucun rapport avec les jeux de données agrégées ou les échantillons. Faut-il en déduire pour autant que le législateur a voulu supprimer la possibilité d’accéder simplement à de telles données ? Cela ne semble pas être le cas : effectivement, le site internet du SNDS continue à faire référence aux “trois procédures simplifiées correspondant à des usages et des données“. Mais le doute plane encore et des clarifications sont à attendre…
La décision unique concerne-t-elle la recherche en santé ?
La procédure de décision unique de la CNIL permet la délivrance d’une autorisation pour des traitements répondant à une même finalité, sur des catégories de données identiques et ayant des catégories de destinataires identiques. Initialement, la possibilité de passer par une décision unique s’appliquait à la recherche dans le domaine de la santé et donc à l’accès au SNDS. Mais aujourd’hui, la mesure figure dans la section 1 du chapitre IX de la loi relative à l’informatique et aux libertés et n’est pas rappelée dans la section 2.
On peut donc s’interroger sur l’application de la décision unique à la recherche en santé dans la mesure où, contrairement à la méthodologie de référence, elle n’a pas été reproduite dans la section 2.
Ces questionnements sont nécessaires car la mise en place des nouveaux accès au SNDS et des accès simplifiés fait l’objet d’une pédagogie importante de la part de l’INDS, du SNDS et de la CNIL depuis l’ouverture du système en 2017. Il est très surprenant que la nouvelle rédaction de la loi relative à l’informatique et aux libertés vienne chambouler les dispositions censées être applicables et complexifie un mécanisme supposé être le plus clair possible.
Aujourd’hui, la seule certitude est que la méthodologie de référence peut être utilisée pour accéder aux données de santé du SNDS dans le cadre de la recherche. Des clarifications seraient donc les bienvenues à propos de l’application des deux autres accès simplifiés.
