Pour tout vous dire, je suis un peu surpris par certains points, notamment par l'emploi du terme « raisonnablement » qui revient dans beaucoup de textes officiels. Il est ainsi indiqué que le niveau de protection doit être adapté en fonction des moyens qu'il est raisonnablement possible de mettre en oeuvre pour essayer d'attaquer la base de données. Je ne pense pas que cet élément puisse réduire les risques pesant sur les données du PMSI et du SNIIRAM ou influer sur la manière de les évaluer.
En revanche, il y a une approche intéressante concernant la responsabilisation des personnes qui conduisent des projets de recherche sur les données. Chaque porteur de projet devra lui-même procéder à une évaluation des risques et déterminer les mesures à prendre au sein de son organisme d'appartenance pour que le traitement des données se déroule dans des conditions de sécurité satisfaisantes. Il est ensuite prévu qu'un audit contrôle leur bonne mise en oeuvre. C'est là une approche assez différente de celle qui prévaut actuellement, mais j'ai cru comprendre que le référentiel de sécurité en cours d'analyse à la CNIL tendrait vers un tel dispositif. Cela n'a rien d'étonnant puisque le règlement européen entrera en vigueur en 2018.