Cet engagement est contraignant car s'il apparaît, lors d'un contrôle a posteriori, que l'entité ne le respecte pas, nous sommes en droit de lui infliger une sanction dont le montant maximal, actuellement de 3 millions d'euros, sera porté, lorsque le règlement européen entrera en vigueur, à 20 millions d'euros ou 4 % de son chiffre d'affaires mondial.
Nous avons d'ores et déjà adopté, en août dernier, deux méthodologies de référence ; le 31 décembre, soit quatre mois plus tard, nous avions reçu presque 600 engagements de conformité à ces deux méthodologies. Ainsi, non seulement nous évitons aux opérateurs de suivre la procédure d'autorisation individuelle, longue à instruire, mais nous dégageons des moyens qui nous permettent de concentrer une ressource rare sur les cas plus atypiques ou qui auraient fait l'objet d'une appréciation plus réservée du CEREES, par exemple.
Ces trois réponses – sécurité, évolution du cadre juridique et simplification des procédures par le régulateur – doivent être conjuguées si nous voulons répondre à la volonté du législateur et nous assurer que les données seront traitées dans un cadre sûr pour nos concitoyens.
J'en viens au questionnaire que vous nous avez adressé.
S'agissant, tout d'abord, du règlement européen, celui-ci permet le traitement des données du SNDS, notamment parce que son article 9 prévoit, comme je le disais, des exceptions pour les traitements apparaissant comme nécessaires pour des motifs d'intérêt public, intérêt public qui doit être important de manière générale. En ce qui concerne la santé publique, ces motifs comprennent notamment la protection contre les menaces transfrontalières graves pesant sur la santé et l'objectif de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux. Une troisième exception est prévue pour le traitement nécessaire dans l'intérêt public à des fins de recherche scientifique.
L'ensemble de ces dispositions font donc référence à l'intérêt public, lequel est par ailleurs la « clé d'entrée » du SNDS pour les organismes qui n'y ont pas accès de plein droit. Aussi les deux réglementations coïncident-elles, de sorte que le traitement des données de santé est possible dans le cadre du règlement européen sans prendre de risques juridiques excessifs.