Données de santé: que change l’ordonnance “Informatique et libertés”?

La loi relative à l’Informatique et aux libertés vient d’être intégralement réécrite par ordonnance. Le texte est présenté comme une simple adaptation et mise en cohérence avec le RGPD (ce qui était censé être l’objectif de la loi déjà adoptée le 20 juin 2018…).

Pourtant, il n’est pas inutile de vérifier si des modifications touchent la question sensible des données de santé. 

Les mesures sur les données de santé modifiées seulement dans la forme

Initialement, les mesures relatives au traitement des données dans le domaine de la santé se retrouvaient dans le chapitre IX de la loi Informatiques et libertés, contenant les articles numérotés de 53 à 65. Ce chapitre permettait de retrouver toutes les dispositions relatives aux dérogations possibles au principe d’interdiction de traitement. 

La deuxième section de ce chapitre proposait également une description des mesures permettant d’accéder aux données pour faire de la recherche : cette procédure est notamment applicable pour accéder aux données du système national des données de santé (SNDS). 

L’ordonnance se contente de changer de place toutes ces mesures liées au traitement des données de santé, sans en modifier le fond. Les références aux articles de la loi Informatique et libertés sont adaptées à la nouvelle numérotation. Certains articles sont également déplacés comme l’alinéa 1 de l’article 57 relatif au droit d’opposition à la levée du secret professionnel qui figure désormais dans la sous-section dédiée à la recherche dans le domaine de la santé. 

A partir de maintenant, les dispositions spécifiques sur les données dans le domaine de la santé sont donc trouvables aux articles 64 à 77 de la loi Informatique et libertés. 

Signalons toutefois que le nouvel article 6 de la loi réécrite par ordonnance ne permet plus de traiter des données sensibles si celles-ci font l’objet, à bref délai, d’une anonymisation. 

Cette deuxième réécriture de la loi Informatique et libertés en moins de 6 mois a de quoi déstabiliser. Même si le contenu du texte est simplement mis en coordination avec le RGPD, il bouleverse les repères que les spécialistes commençaient à avoir dans la version issue de la loi du 20 juin 2018.