RGPD et données de santé : un projet de loi favorable aux entreprises

La question des données de santé est très présente dans projet de loi adaptant le droit français au RGPD (Règlement général relatif à la protection des données). Ce projet, dont la rapporteure est Paula Forteza, est en cours de discussions à l’Assemblée nationale depuis le 6 février et les débats qui se sont tenus ont montré que l’attitude des politiques est plutôt favorable à la facilitation des traitements de données de santé à caractère personnel par les entreprises. 

 

Les complémentaires santé à égalité avec l’assurance maladie

Lors des discussions relatives aux amendements à apporter au projet de loi modifiant le droit français (plus particulièrement la loi relative à l’informatique et aux libertés du 6 janvier 1978), la garde des sceaux, Nicole Belloubet, a défendu un amendement qui intéressera les organismes de complémentaire santé. Cet amendement (le n°128) permet aux traitements effectués par les organismes de complémentaire santé, dans le cadre de leurs missions de prise en charge des prestations, d’entrer dans la liste très fermée des traitements autorisés par dérogation par l’article 9 du RGPD, et par l’article 53 de la loi “informatique et aux libertés” tel que modifié par le projet de loi. 

L’entrée des organismes de complémentaire santé dans cette liste leur permet ainsi de ne pas avoir à effectuer toutes les démarches prévues par le chapitre IX de la loi “informatique et libertés”. Leur mission de prise en charge des frais de santé s’en trouve, dès lors, hautement simplifiée. 

 

Le gouvernement défend la démocratisation des traitements de données de santé

Le nouveau chapitre IX de la loi “informatique et libertés” met en place de nouvelles mesures relatives aux traitements de données de santé à caractère personnel. Au lieu de l’obligation d’obtenir une autorisation de traitement préalable, le projet de loi crée un système de déclaration de conformité à des référentiels ou des règlements types édictés par la Commission nationale de l’informatique et des libertés ainsi que par l’Institut national des données de santé (INDS) et par des “organismes publics et privés représentatifs des acteurs concernés” (une formule bien vague…). 

En d’autres termes, le responsable d’un traitement de données de santé devra déclarer le traitement envisagé conforme aux référentiels et règlements types auprès de la CNIL. Si une telle déclaration de conformité n’est pas effectuée, alors une autorisation spécifique de la CNIL pour la mise en oeuvre du traitement devra être sollicitée. 

Par ailleurs, la CNIL disposera d’un pouvoir de contrôle et de sanction a posteriori sur tous les traitements de données de santé à caractère personnel mis en oeuvre. 

Au cours des discussions à l’Assemblée nationale, le député Eric Coquerel a proposé la suppression pure et simple de cette nouvelle rédaction du chapitre IX de la loi “informatique et libertés”. Il voit dans ce mécanisme de déclaration de conformité sans contrôle préalable un danger pour la protection de la vie privée, et un affaiblissement des pouvoirs de la CNIL. 

Cependant, Nicole Belloubet, garde des sceaux, et Paula Forteza, rapporteure, soutiennent le projet de loi et se défendent de toute tendance à la libéralisation. L’amendement n’est donc pas adopté. 

 

Le débat tourne en faveur de l’accès des entreprises aux données de santé

Plusieurs amendements sont discutés pour rassurer les entreprises, grandes ou petites, sur leurs capacités futures à traiter des données de santé. Ainsi, Paule Forteza et Cédric Villani obtiennent l’ajout d’une précision de taille : la finalité d’intérêt public, requise pour pouvoir traiter des données de santé à caractère personnel, inclut bien “la garantie de normes élevées de qualité et de sécurité des soins de santé, et des médicaments ou des dispositifs médicaux” (voir l’amendement n°125 notamment). 

Une discussion a également eu lieu concernant l’intervention de l’INDS pour se prononcer sur le caractère d’intérêt public d’un traitement mis en place dans le cadre du nouveau chapitre IX de la loi “informatique et libertés”. En effet, actuellement, l’INDS n’intervient sur ce point que pour les traitements de données de santé à caractère personnel effectués à des fins de recherche, d’étude, ou d’évaluation. Dans ce cadre, elle dispose d’un délai de deux mois pour se prononcer. 

Or, le projet de loi étendrait l’intervention de l’INDS à tous les types de traitements de données de santé à caractère personnel, ce qui aurait pour effet d’allonger la procédure de deux mois. Comme l’indique Paula Forteza, “dans le secteur de la santé, de nombreuses start-up […] ont besoin d’avoir un accès facilité à ces données à titre expérimental, pour tester de nouvelles applications ou de nouveaux services. Or les délais sont trop contraignants pour cet écosystème en ébullition et nous risquons de perdre des talents, qui vont préférer partir aux États-Unis ou en Angleterre. La France risque donc d’être affaiblie, alors même qu’elle pourrait devenir un leader dans ce domaine“. 

Cédric Villani ajoute également que “tous s’accordent à dire que le droit actuel est plutôt trop contraignant et qu’il importe de raccourcir les délais et de simplifier les procédures. Puisque l’ensemble du projet de loi maintient un haut niveau de protection, un renforcement du rôle de l’INDS irait à contre-courant de l’objectif qui est recherché“. 

Les députés décident de la suppression de ces dispositions et de revenir à l’ancienne rédaction : l’INDS ne pourra donc donner son avis sur le caractère d’intérêt public que pour les traitements réalisés à des fins de recherche, d’étude ou d’évaluation. 

La vision des défenseurs du projet de loi est visiblement tournée vers une démarche favorable aux entreprises en leur permettant d’effectuer plus facilement, et plus rapidement, des traitements de données de santé à caractère personnel dans un intérêt public. 

Ajouter aux articles favoris
Please login to bookmark Close
0 Shares:
Vous pourriez aussi aimer

Un premier avenant intéressant pour la PSC du ministère de l’Intérieur

Un an après la signature de l’accord ministériel du 16 mai 2024 sur la protection sociale complémentaire (PSC) des agents du ministère de l’Intérieur et des outre-mer, un premier avenant est venu, le 12 mars 2025, en corriger plusieurs aspects. Publié au Journal officiel d'aujourd'hui, ce texte modifie la structure des bénéficiaires, ajuste un article sur la gouvernance et corrige une rédaction ambiguë sur les ayants droit. La principale évolution porte sur...

Budget 2025 : plus de 33 milliards d’euros alloués aux établissements médico-sociaux par la CNSA

Un arrêté publié au Journal officiel d'aujourd'hui, fixe pour l’année 2025 l’objectif de dépenses et le montant total annuel des financements alloués aux établissements et services médico-sociaux relevant de la Caisse nationale de solidarité pour l’autonomie (CNSA). L’objectif de dépenses est établi à 33 248,30 Md€ pour l’ensemble du secteur. Ce montant se répartit entre 17 538,87 Md€ pour les établissements et services accueillant des personnes âgées...

Dotations médico-sociales 2025 : 32,55 Md€ répartis entre les régions par la CNSA

Par décision du 2 juin 2025, publiée au Journal officiel d'aujourd'hui, la Caisse nationale de solidarité pour l’autonomie (CNSA) a fixé les dotations régionales limitatives applicables aux établissements et services médico-sociaux pour l’année 2025. Ces dotations, réparties par Agence régionale de santé (ARS), concernent à la fois les structures accueillant des personnes âgées et celles destinées aux personnes en situation de handicap. Le montant total...