Amendement N° 565 (Retiré)

L'article 47 du projet de loi de modernisation de notre système de santé prévoit un assouplissement des conditions juridiques d'utilisation du Numéro d'identification au répertoire national des personnes physiques (NIR) à des fins de recherche (modification art. 27 loi du « janvier 1978 (dite « Informatique et Libertés »), fait le choix du NIR comme Identifiant National de Santé (INS) et prévoit la possibilité de l'utiliser à des fins de recherche (moyennant une autorisation de la CNIL) (CSP, projet art. L. 1111‑8‑1).

Le Sénat a ajouté au projet d'article L. 1111‑8‑1 du CSP, une disposition permettant à la CNIL d'imposer de confier le NIR (utilisé comme identifiant de santé) à un tiers de confiance distinct du responsable de traitement et habilité à détenir cet identifiant pour les recherches en santé. Les modalités d'application seront prévues par un décret en Conseil d'État (DCE) pris après avis de la CNIL.

Cet ajout appelle les observations suivantes :

L'utilisation du NIR nécessite le recours à des règles de sécurité de haut niveau. Pour les équipes de recherche, la séparation entre données de santé et données d'identification (dont le NIR) est déjà couramment organisée selon un dispositif soumis à l'approbation de la CNIL qui peut impliquer le recours à un tiers de confiance.

Il importe toutefois de lever une ambiguïté.

L'article 47 du projet de loi de modernisation prévoit que le futur Système National des Données de Santé (SNDS) ne comportera ni le nom, ni le prénom, ni le NIR des personnes concernées qui seront confiées à un tiers de confiance distinct de la CNAMTS (CSP, projet art. 1461‑5-I).

Le recours au tiers prévu par le projet d'article L. 1461‑5-II du CSP a vocation à concerner le cas spécifique où il est nécessaire de ré-identifier les données du SNDS. En d'autres termes, le tiers de confiance prévu par le projet de loi sera seul compétent pour pouvoir remonter à l'identité de la personne depuis le SNDS, dans les conditions prévues dans le projet d'article L. 1461‑5-III du Code de la santé publique (finalités strictement énumérées, autorisation de la CNIL).

En revanche, dans l'hypothèse où les responsables de traitement détiennent déjà le NIR (volontairement fourni par les personnes concernées par exemple), le recours à un autre tiers de confiance présentant toutes les garanties nécessaires doit être possible, conformément aux schémas d'ores et déjà validés par la CNIL. Il n'est pas nécessaire de modifier cette organisation qui est efficiente pour imposer aux chercheurs le recours à un seul tiers de confiance national.

Imposer le recours au tiers de confiance prévu par ce texte dans toutes les hypothèses d'utilisation du NIR conduirait à des situations d'engorgement et de blocage et le gain d'un assouplissement des formalités préalables pour l'utilisation du NIR serait remis en cause au stade de l'accès aux données.

Compte tenu de cette ambiguïté et des risques susmentionnés, il convient de revenir à la version du texte de loi voté en première lecture à l'Assemblée nationale le 14 avril 2015.

La CNIL conservera la possibilité d'imposer le recours à un tiers de confiance en cas d'utilisation du NIR pour les chercheurs, sans que cela figure dans la loi ou dans un DCE.

L'élaboration d'un guide de bonnes pratiques de gestion des identifiants, le cas échéant pris par arrêté, serait alors plus adapté pour encadrer l'utilisation de cet identifiant spécifique et définir les caractéristiques requises d'un tiers de confiance qu'un DCE. Cela permettra une meilleure adaptation de la norme à la diversité des situations et aux évolutions technologiques. Cela permettra également de simplifier le travail du comité d'expertise scientifique et de la CNIL et de réduire les délais d'instruction (un nombre de demandes très conséquent est à prévoir). L'Institut national de la santé et de la recherche médicale (Inserm) et l'Alliance nationale pour les sciences de la vie et de la santé (Aviesan) seraient tout à fait indiquées pour collaborer avec la CNIL à l'élaboration d'un droit exigeant mais « agile » et lui soumettre des propositions.