Le mardi 23 janvier 2018, la commission des affaires sociales de l’Assemblée Nationale s’est saisie pour avis des articles 7, 9 et 13 du projet de loi relatif à la protection des données personnelles qui traitent respectivement des données sensibles, du numéro d’inscription au répertoire (NIR) et des données de santé. Elle a émis un avis favorable pour l’ensemble de ces dispositions.
S’agissant des données de santé, des régimes distincts sont prévus afin de concilier la protection élevée de telles données et la responsabilisation des acteurs.
En effet, conformément à l’esprit du règlement européen RGPD, la nouvelle logique de responsabilisation (Accountability) conduit à supprimer la plupart des autorisations préalables y compris pour les données de santé.
Tout d’abord, il faut souligner, qu’en l’absence de définition légale, le champ des données de santé résultait des décisions jurisprudentielles françaises et européennes.
Désormais, le projet de loi reprend la définition explicite posée par le règlement qui élargit les données de santé à toutes les « données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».
Le Groupement des autorités administratives en charge de la protection des données personnelles dans chacun des États membres de l’Union Européenne, le G29, a précisé cette définition.
Précisément, la réflexion s’est portée sur les données brutes concernant le mode de vie d’une personne collectées en dehors d’un contexte médical issues notamment des objets connectés et du quantified self. Il s’agit de données de santé si elles permettent seules ou croisées avec d’autres de révéler l’état de santé ou les risques sur la santé d’une personne. Les dispositifs connectés de contrôle du diabète que des sociétés privées telles que Google et Sanofi projettent de développer entrent ainsi par exemple, dans ce cadre.
En ce qui concerne les trois articles du projet de loi examinés par la commission des affaires sociales de l’Assemblée Nationale.
Tout d’abord, l’article 7 pose le principe de l’interdiction du traitement des données sensibles qui ont trait à l’intimité de la personne ou qui sont susceptibles de causer des discriminations sauf dérogations strictement encadrées. Le projet de loi étend le champ des données sensibles aux données génétiques et biométriques au même titre que les données de santé.
Ensuite, l’article 9 est relatif aux traitements du numéro d’inscription au répertoire des personnes physiques, NIR, qui correspond aux 13 numéros de sécurité sociale dont le régime manquait de clarté. En effet, il prévoyait diverses autorisations accordées par la Cnil ou relevant du domaine législatif et réglementaire, ainsi que des formules allégées. Désormais un décret en Conseil d’État listera les catégories de responsables de traitement et les finalités au vu desquelles de tels traitements pourront être mis en œuvre. Il sera publié après avis motivé de la Cnil.
Finalement, l’article 13 comporte un dispositif général, au sein d’un chapitre IX qui régit les traitements portant sur l’ensemble des données de santé présentant une finalité d’intérêt public (section I) et un dispositif spécifique couvrant le cas particulier des traitements à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé (section II).
Il fait de la déclaration de conformité aux référentiels, aux méthodologies de référence et le respect des règlements types, le principe, et l’autorisation préalable par la Cnil, l’exception.
Dans le régime de l’exception, pour les traitements dont les finalités de recherche ne sont pas encore identifiées, le texte prévoit la saisine de l’Institut National des Données de Santé, INDS, par la Cnil ou son auto-saisine pour évaluer l’intérêt public du traitement. En tout état de cause, le projet de loi maintient le délai de deux mois dans lequel la Cnil est amenée à se prononcer. Surtout il en modifie la portée puisque l’absence de décision vaut accord implicite ce qui constitue une réelle avancée pour les acteurs économiques.
En définitive, après l’avis favorable de la Commission des affaires sociales sur ces trois articles spécifiques, les discussions sont prévues en séance publique à l’Assemblée Nationale sur l’ensemble du projet de loi relatif aux données personnelles à partir du 6 février prochain.