Intervention de Edouard Geffray

Je vais vous livrer un sentiment, plutôt qu'une analyse juridique. Le règlement européen est, dans son principe, restrictif, mais il admet – ce qui est du reste conforme à notre cadre interne – que, dans l'intérêt public, des exceptions puissent être prévues à ces interdictions de principe, exceptions dont les conditions particulières doivent être fixées par les États membres. Or, la condition de la confidentialité des données est définie par la loi, laquelle vise précisément à aménager des dérogations lorsque l'intérêt public le justifie. Il me semble donc que le règlement européen ne remet pas en cause l'équilibre tel qu'il a été défini par le législateur, qui autorise la réutilisation des données de santé, premièrement, dans un objectif d'intérêt public, deuxièmement, dans des conditions fixées par la CNIL : agrégats, anonymisation éventuelle, non-réidentification des personnes… Il faut bien avoir à l'esprit cette double condition. En outre, nous avons insisté pour qu'il soit possible de sanctionner un ré-utilisateur qui utiliserait des données qui ne sont pas directement identifiantes aux fins de ré-identifier des personnes. Il nous semble en effet nécessaire de sécuriser et l'amont et l'aval : en amont, l'entité qui met les données à disposition doit le faire dans un cadre protecteur ; en aval, il faut pouvoir interdire au ré-utilisateur de se servir de ces données pour retrouver l'identité d'une personne qui, par exemple, a été hospitalisée pour un panaris du 3 au 5 juin 2015.

L'intérêt public, qui est mentionné dans la loi, doit être qualifié par l'INDS, l'intérêt scientifique étant apprécié, quant à lui, par le CEREES. Ensuite, les conditions de protection des données relèvent de la CNIL. Le dispositif est ainsi fait qu'en cumulant le critère d'entrée, les conditions de traitement internes et l'assimilation de la ré-identification à un détournement de finalité passible de sanction, nous avons les moyens, me semble-t-il, de maîtriser l'objet dans un cadre conforme au niveau d'exigence européen et à celui du législateur.

Par ailleurs, les données du SNDS ont, par nature, un caractère personnel, dans la mesure où elles sont relatives à des personnes directement ou, en l'espèce, indirectement indentifiables. Selon nous, il n'y a pas de débat juridique sur ce point, au demeurant important car il détermine notre champ de compétence. Ainsi, lorsque nous contrôlerons le SNDS, nous contrôlerons l'ensemble du SNDS. Cependant, ces données personnelles telles qu'elles sont mises à disposition sont plus ou moins individualisées. Si elles prennent la forme d'agrégats, elles ne sont pas individualisables et la sécurité est maximale ; si elles sont individualisables, elles doivent faire l'objet d'une protection renforcée.

J'en viens à l'appréciation de l'intérêt scientifique. En fait, la question sous-jacente est celle de savoir si la CNIL se prononce sur l'intérêt scientifique du projet. La réponse est : a priori non ; cela n'entre pas dans notre champ de compétence. C'est au Comité consultatif sur le traitement de l'information en matière de recherche dans le domaine de la santé (CCTIRS) aujourd'hui, au CEREES demain, de se prononcer sur ce point. La CNIL, quant à elle, définira, en tenant compte de l'appréciation portée par le comité, les conditions de traitement des données. Elle peut ainsi, le cas échéant, fixer des bornes. Je pense à un projet portant sur l'étude du génome d'une certaine catégorie de population définie par son origine. L'intérêt scientifique du projet avait été reconnu ; la CNIL a précisé que ces travaux ne pouvaient être utilisés pour établir que telle personne appartenait à telle population. L'intérêt scientifique ne relève donc pas de la CNIL, qui se prononce, en revanche, sur l'intérêt sociétal, lequel commande de ne pas sortir des frontières de la science en permettant à d'autres d'utiliser des données à mauvais escient, notamment dans des perspectives extrêmement dolosives.

En ce qui concerne l'articulation entre les différents acteurs, je rappelle que la CNIL délivre une autorisation à la personne qui va consulter la base du SNDS : soit cette autorisation est respectée, soit elle ne l'est pas et la personne peut alors être sanctionnée. Il n'y a donc ni négociation, ni convention. Une fois qu'elle a obtenu cette autorisation, l'entité se tourne vers le SNDS et le responsable de traitement, c'est-à-dire la CNAMTS. Celle-ci, je le précise, travaille actuellement à la rédaction d'une convention avec l'INSERM, qui assurera une partie de la gestion des droits d'accès. Concrètement, il ouvrira telle boîte pour accéder à tel type de données.

Quant à la question de savoir si le CEREES doit avoir la personnalité juridique, je ne crois pas que ce soit une obligation légale. Il peut en effet être rattaché à la personne morale qu'est l'État, à l'instar de la CNIL, par exemple.