Intervention de Edouard Geffray

Pas forcément, en ce sens que la réglementation européenne prévoit des « exceptions » en matière de santé et confie au droit national le soin de préciser les « conditions supplémentaires et garanties particulières » applicables en la matière. Concrètement, le Parlement sera donc saisi, probablement à la fin du mois de juin 2017, d'un nouveau projet de loi « Informatique et libertés », qui visera à tirer toutes les conséquences du règlement européen et qui traitera notamment des données de santé. Pour résumer le débat, le Parlement devrait ainsi se prononcer sur le point de savoir si nous conservons le dispositif issu de la loi de modernisation de notre système de santé ou si nous remettons l'ouvrage sur le métier. Selon notre première analyse, le régime actuel pourrait demeurer, compte tenu du périmètre des exceptions prévues par le règlement européen – cette analyse doit cependant être affinée par la Direction des affaires civiles et du Sceau, qui pilote le projet au niveau interministériel. Je crains donc que le chantier ne soit pas totalement achevé, alors même que les décrets d'application de la loi de modernisation du système de santé ne sont pas encore publiés. De fait, actuellement, nous en sommes réduits à nous demander si un régime juridique dont nous ne connaissons pas encore tous les contours est bien compatible avec un texte dont la clarté n'est pas évidente…

La troisième réponse relève de la régulation : que fait la CNIL dans cet environnement ? Outre son action en aval, c'est-à-dire les contrôles a posteriori, elle est chargée de délivrer des autorisations, d'une part, en matière de recherche dans le domaine de la santé, d'autre part, aux organismes qui ne sont pas considérés par la loi comme ayant un accès de plein droit aux données du SNDS mais qui peuvent, pour un motif d'intérêt public, mener des recherches à partir de ces données.

Dans ce dernier cas, le schéma habituel est un schéma d'autorisation individuelle. Concrètement, une entreprise ou un organisme soumettra son projet de recherche à l'Institut national des données de santé (INDS) puis le CEREES l'examinera et enfin la CNIL s'assurera que les conditions de protection des données sont suffisantes et lui accordera ou non l'autorisation. Nous souhaitons donc construire autant que possible des actes-cadres, appelés méthodologies de référence ou autorisations uniques. Ces deux outils juridiques permettent aux organismes traitant tel type de données dans telles conditions d'éviter de suivre une procédure individualisée à la CNIL dès lors qu'ils s'engagent à agir en conformité avec le cadre défini, leur activité pouvant bien entendu être contrôlée.