RGPD et données de santé : un projet de loi favorable aux entreprises

La question des données de santé est très présente dans projet de loi adaptant le droit français au RGPD (Règlement général relatif à la protection des données)

Ce projet, dont la rapporteure est Paula Forteza, est en cours de discussions à l’Assemblée nationale depuis le 6 février et les débats qui se sont tenus ont montré que l’attitude des politiques est plutôt favorable à la facilitation des traitements de données de santé à caractère personnel par les entreprises

Les complémentaires santé à égalité avec l’assurance maladie

Lors des discussions relatives aux amendements à apporter au projet de loi modifiant le droit français (plus particulièrement la loi relative à l’informatique et aux libertés du 6 janvier 1978), la garde des sceaux, Nicole Belloubet, a défendu un amendement qui intéressera les organismes de complémentaire santé. Cet amendement (le n°128) permet aux traitements effectués par les organismes de complémentaire santé, dans le cadre de leurs missions de prise en charge des prestations, d’entrer dans la liste très fermée des traitements autorisés par dérogation par l’article 9 du RGPD, et par l’article 53 de la loi « informatique et aux libertés » tel que modifié par le projet de loi. 

L’entrée des organismes de complémentaire santé dans cette liste leur permet ainsi de ne pas avoir à effectuer toutes les démarches prévues par le chapitre IX de la loi « informatique et libertés ». Leur mission de prise en charge des frais de santé s’en trouve, dès lors, hautement simplifiée. 

Le gouvernement défend la démocratisation des traitements de données de santé

Le nouveau chapitre IX de la loi « informatique et libertés » met en place de nouvelles mesures relatives aux traitements de données de santé à caractère personnel. Au lieu de l’obligation d’obtenir une autorisation de traitement préalable, le projet de loi crée un système de déclaration de conformité à des référentiels ou des règlements types édictés par la Commission nationale de l’informatique et des libertés ainsi que par l’Institut national des données de santé (INDS) et par des « organismes publics et privés représentatifs des acteurs concernés » (une formule bien vague…). 

En d’autres termes, le responsable d’un traitement de données de santé devra déclarer le traitement envisagé conforme aux référentiels et règlements types auprès de la CNIL. Si une telle déclaration de conformité n’est pas effectuée, alors une autorisation spécifique de la CNIL pour la mise en oeuvre du traitement devra être sollicitée. 

Par ailleurs, la CNIL disposera d’un pouvoir de contrôle et de sanction a posteriori sur tous les traitements de données de santé à caractère personnel mis en oeuvre. 

Au cours des discussions à l’Assemblée nationale, le député Eric Coquerel a proposé la suppression pure et simple de cette nouvelle rédaction du chapitre IX de la loi « informatique et libertés ». Il voit dans ce mécanisme de déclaration de conformité sans contrôle préalable un danger pour la protection de la vie privée, et un affaiblissement des pouvoirs de la CNIL. 

Cependant, Nicole Belloubet, garde des sceaux, et Paula Forteza, rapporteure, soutiennent le projet de loi et se défendent de toute tendance à la libéralisation. L’amendement n’est donc pas adopté. 

Le débat tourne en faveur de l’accès des entreprises aux données de santé

Plusieurs amendements sont discutés pour rassurer les entreprises, grandes ou petites, sur leurs capacités futures à traiter des données de santé. Ainsi, Paule Forteza et Cédric Villani obtiennent l’ajout d’une précision de taille : la finalité d’intérêt public, requise pour pouvoir traiter des données de santé à caractère personnel, inclut bien « la garantie de normes élevées de qualité et de sécurité des soins de santé, et des médicaments ou des dispositifs médicaux » (voir l’amendement n°125 notamment). 

Une discussion a également eu lieu concernant l’intervention de l’INDS pour se prononcer sur le caractère d’intérêt public d’un traitement mis en place dans le cadre du nouveau chapitre IX de la loi « informatique et libertés ». En effet, actuellement, l’INDS n’intervient sur ce point que pour les traitements de données de santé à caractère personnel effectués à des fins de recherche, d’étude, ou d’évaluation. Dans ce cadre, elle dispose d’un délai de deux mois pour se prononcer. 

Or, le projet de loi étendrait l’intervention de l’INDS à tous les types de traitements de données de santé à caractère personnel, ce qui aurait pour effet d’allonger la procédure de deux mois. Les députés décident de la suppression de ces dispositions et de revenir à l’ancienne rédaction : l’INDS ne pourra donc donner son avis sur le caractère d’intérêt public que pour les traitements réalisés à des fins de recherche, d’étude ou d’évaluation.

La vision des défenseurs du projet de loi est visiblement tournée vers une démarche favorable aux entreprises en leur permettant d’effectuer plus facilement, et plus rapidement, des traitements de données de santé à caractère personnel dans un intérêt public.

Paula Forteza :

« dans le secteur de la santé, de nombreuses start-up […] ont besoin d’avoir un accès facilité à ces données à titre expérimental, pour tester de nouvelles applications ou de nouveaux services. Or les délais sont trop contraignants pour cet écosystème en ébullition et nous risquons de perdre des talents, qui vont préférer partir aux États-Unis ou en Angleterre. La France risque donc d’être affaiblie, alors même qu’elle pourrait devenir un leader dans ce domaine« .

Cédric Villani :

« tous s’accordent à dire que le droit actuel est plutôt trop contraignant et qu’il importe de raccourcir les délais et de simplifier les procédures. Puisque l’ensemble du projet de loi maintient un haut niveau de protection, un renforcement du rôle de l’INDS irait à contre-courant de l’objectif qui est recherché« .

mm
A propos Leo Guittet 149 Articles
Juriste spécialisé dans les données de santé à Tripalio depuis 2014, j'écris quotidiennement des articles sur le thème de la protection sociale collective et des données de santé. Actuellement en thèse CIFRE sur le sujet de l'accès aux données de santé en France, je suis intéressé par tous les sujets qui touchent aux avancées technologiques et juridiques sur ce thème.

1 commentaire sur RGPD et données de santé : un projet de loi favorable aux entreprises

  1. Le débat tourne en faveur de l’accès des entreprises aux données de santé…l’enfer est pavé de bonnes intentions..L’enjeu derrière est le traitement des données de masses, et la dictature qui pourrait s’ensuivre sur l’individu…sera banni celui qui s’écartera des moyennes récoltés par le traitement des ces données, banni en payant une assurance plus cher, radié, c’est l’ouverture pour les assureurs, au permis de vivre, tout comme le permis de conduire, avec son quota de bonus/malus, et autres franchises et aux tarifs différents selon votre voiture, votre région, homme, femme, jeune conducteur…malheur aux gros ou aux maigres, aux chétifs et aux personnes agées, ainsi qu’aux pauvres, puisque leur alimentation à bon marché les conduira aux maladies type, cholestérol, diabète… les villanie peuvent demander la clause d’intérêt public, les plus vilaines dictatures sont nés au profit de l’intérêt public

1 Trackbacks & Pingbacks

  1. Utile : Protection des données (RGPD), le texte intégral voté à l'Assemblée - Décider et Entreprendre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*


Lire les articles précédents :
Le bitcoin est-il déjà une monnaie ? par Mory Doré

Cet article provient du site La Chronique Agora. Le bitcoin possède certains attributs d’une monnaie. Mais est-il une véritable alternative...

Fermer