Article en accès libre Article n° 5355
  Article en accès libre Article n° 5355
Début

Données de santé : le nouveau projet de loi sur les données personnelles laisse la CNIL dubitative

Paris - Publié le jeudi 14 décembre 2017 à 14 h 28 - n° 5355 Nicole Belloubet, ministre de la Justice, a présenté au Conseil des ministres du 13 décembre 2017 au soir le projet de loi relatif à la protection des données personnelles.

Le projet vise à transposer la réglementation européenne (Règlement 216/679 et Directive 2016/680) dans la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, qui doit entrer en vigueur avant le 25 mai 2018. Il porte modification à la loi en :
• précisant les modes d’accès aux données ;
• instaurant un contrôle a posteriori tout en renforçant les sanctions en cas d’infraction ;
• renforçant la protection des données sensibles telles les données biométriques.

La ministre a également fait savoir que les modifications annoncées seront codifiées, par voie d’ordonnance, dans la loi fondatrice de 1978 afin d’offrir un cadre juridique lisible à chaque citoyen et acteur économique.

Le Conseil d’Etat et la Commission Nationale de l’Informatique et des Libertés (CNIL) ont émis leurs avis encourageants, mais avec des observations en vue d’optimiser le processus de la transposition.
© D.R.
© D.R.

Les principaux points de modification

Lors du Conseil des ministres, la ministre de la Justice a exposé les modifications à la loi fondatrice sur l’informatique et les libertés :

• instauration de nouveaux droits pour les citoyens, comme le droit à la portabilité des données personnelles afin de renforcer la confiance des citoyens dans l’utilisation qui est faite de leurs données personnelles ;

• remplacement du système de contrôle a priori, basé sur les régimes de déclaration et d’autorisation préalables, par un système de contrôle a posteriori ;

• renforcement des pouvoirs de la CNIL Commission Nationale de l'Informatique et des Libertéset augmentation considérable des sanctions encourues par les acteurs économiques pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial consolidé ;

• maintien de certaines formalités préalables pour l’utilisation des données les plus sensibles, à savoir les données biométriques nécessaires à l’identification ou au contrôle de l’identité des personnes ou le numéro d’inscription au répertoire national d’identification des personnes physique ;

• protection renforcée des mineurs de moins de 16 ans dont les données personnelles pourront être traitées par les services de la société de l’information (réseaux sociaux) à condition de disposer du consentement des titulaires de l’autorité parentale ;

• création d’un droit à l’information et d’un droit d’accès, de rectification et d’effacement des données à caractère personnel en matière pénale.

Chapitre IX, « Traitements de données à caractère personnel dans le domaine de la santé »

La Section 1 énonce les traitements des données personnelles de santé qui peuvent être mis en œuvre sans l’autorisation expresse de la CNIL et de l'INDSINDS (remplacé par le Health Data Hub), comme étant les traitements :

  • permettant d’effectuer des études à partir des données recueillies, lorsque ces études sont réalisées par les personnels assurant ce suivi et destinées à leur usage exclusif ;
  • effectués à des fins de remboursement ou de contrôle par les organismes chargés de la gestion d’un régime de base d’assurance maladie ;
  • effectués au sein des établissements de santé par les médecins responsables de l’information médicale ;
  • effectués par les agences régionales de santé, par l’État et par la personne publique désignée par lui.

La condition à satisfaire est l’établissement d’une attestation justifiant de la conformité à la réglementation en vigueur.

• Tout autre traitement est soumis à autorisation expresse par la CNIL qui peut à cet effet saisir l’INDS. La décision doit être notifié dans un délai de 2 mois, délai renouvelable si besoin est. Une fois le délai écoulé, la demande est réputée acceptée.

• Une dérogation existe pour une situation d’urgence, mais qui ne peur excéder un an de mise en oeuve depuis la création du traitement.

• Concernant la transmission de données par les professionnels de santé :

  • « lorsque ces données permettent l’identification des personnes, leur transmission doit être effectuée dans des conditions de nature à garantir leur confidentialité » ;
  • « lorsque le résultat du traitement de données est rendu public, l’identification directe ou indirecte des personnes concernées doit être impossible » ;
  • « les personnes appelées à mettre en œuvre le traitement de données ainsi que celles qui ont accès aux données sur lesquelles il porte sont astreintes au secret professionnel sous les peines prévues à l’article 226-13 du code pénal » ;
  • le citoyen a le droit de s’opposer à la levée du secret professionnel concernant ses données ;
  • dans le cas où des données recueillies émanent de prélèvements biologiques identifiants, le consentement éclairé et exprès des personnes concernées doit être obtenu au préalable ;
  • les personnes délivrant des données et celles concernées par ces doonnées doivent être informés de l’usage qui en est fait ;
  • tout établissement où s’exercent des activités de prévention, de diagnostic et de soins donnant lieu à la transmission de données à caractère personnel doit mettre en place des actions d’information sur les obligations réglementaires en vigueur.

La Section 2 régit les traitements des données à des fins de recherche et d'étude ou d'évaluation dans le domaine de la santé.

Les règles précédentes s’appliquent également aux traitements automatisés de données à caractère personnel dont la finalité est ou devient la recherche ou les études dans le domaine de la santé ainsi que l'évaluation ou l’analyse des pratiques ou des activités de soins ou de prévention.

En outre :

  • la CNIL, en concertation avec l’INDS ou autre organisme compétent, doit établir des méthodologies de référence ;
  • l’autorisation de la CNIL est soumise à l'émission préalable d’un avis du :
    • comité compétent de protection des personnes ;
    • comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé, pour les demandes d’autorisation relatives à des études ou à des évaluations ainsi qu'à des recherches n’impliquant pas la personne humaine, dont la composition reste à être fixée par décret.

La loi du 6 janvier 1978 amendée et non abrogée

Alors que le Gouvernement affirme avoir décidé la préservation de l’architecture de la loi fondatrice sur l’informatique et la liberté de 1978 « dans un souci d’intelligibilité » et afin d'éviter la surtransposition des textes européens, aussi bien le Conseil d’État que le CNIL regrettent cette décision et craignent un manque de lisibilité du texte.

L’avis du Conseil d’État pour « un code du numérique et des libertés »

Selon le Conseil d’État, cette décision nuit à la lisibilité du droit positif et propose qu’une fois la loi publiée on procède à une remise en forme et en cohérence de la loi de 1978, mais aussi de textes voisins et liés de façon à garantir une meilleure accessibilité de l’ensemble du droit applicable au traitement des données personnelles.

Il souligne par ailleurs l’absence de considération de réflexions éthiques, sans que celles-ci ne constituent une entrave à la compétition économique de la France sur la scène internationale, traduites en choix politiques et qui seraient susceptibles de structurer des normes juridiques robustes au regard des évolutions informatiques telles :

• le traitement massif des données ;

• la propriété (ou l’inappropriabilité) et la valorisation des données détenues ou élaborées ;

• la maîtrise et le contrôle des algorithmes ;

• la place de l’intelligence artificielle ;

• les modalités d’assistance aux activités humaines procurées par les moyens informatiques, y compris en portant atteinte à l’intégrité du corps humain ou en modifiant ses capacités.

Le Conseil suggère par ailleurs que le fruit de ces réflexions sous formes de règles applicables soit rassemblé dans un futur « code du numérique et des libertés ».

La CNIL

La CNIL confirme que l’objectif de l’harmonisation avec la réglementaire européenne est atteint et que ne sont maintenues que des dérogations nationales réellement justifiées, notamment en matière de données de santé. Elle salue par ailleurs :

  • la définition des pouvoirs de contrôle et les modalités de réalisation d’opérations conjointes avec d’autres autorités européennes ;
  • la clarification des conditions de traitement des données biométriques.

Elle regrette néanmoins :

• la non inclusion d’ajout de garanties supplémentaires lors de l’utilisation de traitements algorithmiques débouchant sur l’adoption de décisions administratives et l’adaptation de ses procédures pour lui permettre de faire face à l’augmentation d’activité liée au nouveau cadre européen et à l'élaboration de référentiels inscrits dans le projet de loi. Une observation que partage le Conseil d’État ;

• le calendrier trop tardif retenu pour l’examen de ce texte et rappelle que ce projet de loi, ainsi que ses décrets d’application, devront impérativement entrer en vigueur avant le 25 mai 2018 ;

• à l’instar du Conseil d’État, le risque important de manque de lisibilité des nouvelles dispositions du fait de modifications apportées « a minima » pour permettre la mise en œuvre du Règlement et de la Directive, en suggérant de renvoyer la réécriture d’ensemble de la loi du 6 janvier 1978 à une ordonnance ultérieure le plus rapidement possible.

Conseil d'Etat

Fiche n° 572, créée le 23/05/16 à 04:22 - MàJ le 02/06/16 à 10:36

Conseil d'Etat

■ Conseiller du Gouvernement pour la préparation des projets de loi, d’ordonnance et de certains décrets
■ Traite ses demandes d’avis et effectue à la demande du Gouvernement ou à sa propre initiative des études
■ Peut également être saisi par le président de l’Assemblée nationale ou du Sénat d’une proposition de loi élaborée par les parlementaires
■ Juge ultime des activités des administrations : pouvoir exécutif, collectivités territoriales, autorités indépendantes, établissements publics, organismes disposant de prérogatives de puissance publique
■ Le Vice-président est Jean-Marc Sauvé

  • Catégorie : Acteurs publics
  • Zone(s) d'activité : France

Conseil d'Etat
1 Place du Palais Royal
75001 Paris - FRANCE
Téléphone : 01 40 20 80 00 vCard meCard .vcf VCARD

Commission Nationale de l'Informatique et des Libertés

Fiche n° 340, créée le 10/05/16 à 15:15 - MàJ le 17/10/19 à 14:23

Commission Nationale de l'Informatique et des Libertés

■ Création en 1978
■ Présidée par Marie-Laure Denis
■ Accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droit
■ Analyse l’impact des innovations technologiques et des usages émergents sur la vie privée et les libertés
■ Travaille en étroite collaboration avec ses homologues européens et internationaux pour élaborer une régulation harmonisée

  • Catégorie : Acteurs publics

Commission Nationale de l'Informatique et des Libertés
8, rue Vivienne
CS 30223
75083 Paris Cedex 02 - FRANCE
Téléphone : 01 53 73 22 22 vCard meCard .vcf VCARD

Fin
loader mask
1