Deux solutions s'offrent selon moi au législateur. La première consiste à amender de manière chirurgicale certains points de la loi. S'agissant de la notion d'intérêt public, par exemple, j'ai suggéré, pour éviter les blocages, de retenir la notion d'intérêt pour plusieurs types d'acteurs. L'accès aux données ne doit évidemment pas répondre à un intérêt corporatiste ; cependant, il peut correspondre à l'intérêt des patients et des professionnels de santé, ou à celui de l'assurance maladie, des hôpitaux ou encore des complémentaires de santé – en clair, à « plusieurs groupes d'acteurs » dont les intérêts sont divergents, d'où le caractère plus opérationnel de cette notion par rapport à la notion certes noble, mais plus impondérable, d'intérêt public.
D'autre part, il conviendrait de ne pas se contenter de tenir compte de la nature juridique des organismes concernés. Imaginons un organisme privé sans but lucratif qui conduit des recherches visant à mieux connaître les parcours de soins : son besoin d'accéder aux données est tout aussi important et légitime que celui d'un organisme public. Or, aujourd'hui, la loi ouvre l'accès aux données à raison de la nature juridique des organismes, par exemple aux administrations – qui en font beaucoup trop peu usage, hélas – et non aux organismes privés. Pour quelle raison ? C'est la finalité recherchée qui doit primer : il faut s'assurer qu'elle corresponde bien à l'intérêt d'un ensemble d'acteurs.
Ensuite, j'estime, outre l'accès dont bénéficient déjà les équipes des CHU et de l'Institut national de la santé et de la recherche médicale (INSERM) à l'échantillon généraliste de bénéficiaires, qu'il faut ouvrir la voie vers un accès permanent à l'ensemble de la base pour des équipes dûment accréditées. Plutôt qu'une autorisation au cas par cas, c'est l'autorisation donnée à des équipes qualifiées qui importe : lesdites équipes doivent alors remplir un cahier des charges qui fait l'objet d'une vérification et, une fois dûment agréées, elles peuvent accéder aux bases sous réserve d'un droit de contrôle.
En somme, il est possible d'apporter un certain nombre d'amendements précis à l'article 193 de la loi du 26 janvier 2016. L'autre solution repose davantage sur une conception politique de fond de la place respective des administrations publiques, entendues au sens large, et de la société civile. Les auteurs de la loi actuelle distinguent en quelque sorte entre les « purs » et les « impurs » – d'un côté la sphère publique, de l'autre la société civile –, distinction qui se traduit dans les conditions d'accès aux données de santé et la constitution du GIP du futur INDS. Encore une fois, cela relève davantage d'une conception d'ensemble – et appelle donc une révision globale de l'article 193 de la loi du 26 janvier 2016.
Se pose aussi la question du pouvoir de sanction de la CNIL. De deux choses l'une : soit il faut modifier la loi du 7 octobre 2016 pour une République numérique afin de prévoir des sanctions dignes de ce nom, comme c'est le cas dans de nombreux autres secteurs de l'économie, soit il faut adopter par amendement cette modification dans le cadre d'une loi sur la santé ou la sécurité sociale afin de prévoir la multiplication par tel ou tel facteur des sanctions générales en cas d'atteinte au secret médical.
Autrement dit, plusieurs pistes s'offrent à nous et il me semble possible d'adopter des mesures intelligentes à peu de frais : à défaut de refondre l'ensemble de l'article 193, qui possède certaines qualités, on peut traiter chaque problème de manière pragmatique.