Intervention de Edouard Geffray

Le cadre juridique actuel est défini par la directive de 1995 et la loi de 1978, notamment ses chapitres IX et X, qui ont été fusionnés en un seul chapitre par la loi de modernisation du système de santé. Le règlement européen qui entrera en vigueur le 25 mai 2018 le modifie assez substantiellement, notamment parce qu'il crée de nouveaux droits, en particulier le droit à la portabilité – qui permettra aux individus de récupérer les données qu'ils ont fournies pour les utiliser à d'autres fins –, et parce qu'il soumet les responsables de traitement – en l'espèce, la CNAMTS – à des obligations supplémentaires. Ces derniers devront ainsi intégrer le paramètre de la protection des données dès la conception de leur service, de leur produit ou de leur traitement. Ce principe nouveau – connu sous le nom de privacy by design – est intéressant car il s'agit d'un principe de droit « dur » dont le non-respect sera susceptible de sanctions, lesquelles seront, du reste, considérablement renforcées.