| ART. 47 | N°AS1386 |
SANTÉ - (N° 2302)
AMENDEMENT N°AS1386
présenté par
| le Gouvernement |
----------
ARTICLE 47
Substituer aux alinéas 90 à 127 les trente-huit alinéas suivants :
« 5° Le chapitre IX est ainsi modifié :
« a) Son intitulé est ainsi rédigé : « Traitements de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé » ;
« b) Les articles 53 et 54 sont ainsi rédigés :
« Art. 53. – Les traitements automatisés de données à caractère personnel ayant pour fin la recherche ou les études dans le domaine de la santé, ainsi que l’évaluation ou l’analyse des pratiques ou des activités de soins ou de prévention, sont soumis aux dispositions de la présente loi à l’exception des articles 23, 24, du I de l’article 25 et des articles 26, 32 et 38.
« Toutefois, les dispositions du présent chapitre ne sont pas applicables :
« 1° Aux traitements de données à caractère personnel ayant pour fin le suivi thérapeutique ou médical individuel des patients ;
« 2° Aux traitements permettant d’effectuer des études à partir des données recueillies en application du 1°, lorsque ces études sont réalisées par les personnels assurant ce suivi et destinées à leur usage exclusif ;
« 3°Aux traitements effectués à des fins de remboursement ou de contrôle par les organismes chargés de la gestion d’un régime de base d’assurance maladie ;
« 4° Aux traitements effectués au sein des établissements de santé par les médecins responsables de l’information médicale dans les conditions prévues au deuxième alinéa de l’article L. 6113‑7 du code de la santé publique ;
« 5° Aux traitements effectués par les agences régionales de santé, par l’État et par la personne publique désignée par lui en application du premier alinéa de l’article L. 6113‑8 du même code, dans le cadre défini par cet article ;
« 6° Aux traitements mis en œuvre par les organismes ou services chargés d’une mission de service public figurant sur une liste fixée par arrêté des ministres chargés de la santé et de la sécurité sociale pris après avis de la Commission nationale de l’informatique et des libertés, afin de répondre à une alerte sanitaire dans les conditions prévues par le V de l’article 22.
« Art. 54. – I. – Les traitements de données à caractère personnel ayant une finalité d’intérêt public de recherche, d’étude ou d’évaluation dans le domaine de la santé sont autorisés par la Commission nationale de l’informatique et des libertés dans le respect des principes définis par la présente loi et en fonction de l’intérêt public que la recherche, l’étude ou l’évaluation présente.
« II. – La Commission nationale de l’informatique et des libertés prend sa décision après avis :
« 1° Du comité compétent de protection des personnes mentionné à l’article L. 1123‑6 du code de la santé publique pour les demandes d’autorisation relatives à des recherches impliquant la personne humaine ;
« 2° Du comité d’expertise pour la recherche, les études ou l’évaluation dans le domaine de la santé pour les demandes d’autorisation relatives à des études ou des évaluations, ainsi qu’à des recherches n’impliquant pas la personne humaine.
« Le comité d’expertise est composé de personnes choisies en raison de leur compétence, dans une pluralité de disciplines. Un décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés précise la composition du comité et définit ses règles de fonctionnement. Il peut prévoir l’existence de plusieurs sections au sein du comité, compétentes en fonction de la nature du traitement.
« Le comité d’expertise émet un avis sur la méthodologie retenue, sur la nécessité du recours à des données à caractère personnel et la pertinence de celles-ci par rapport à la finalité du traitement, et s’il y a lieu sur la qualité scientifique du projet. Le cas échéant, le comité recommande aux demandeurs des modifications de leur projet afin de le mettre en conformité avec les dispositions de la présente loi.
« Dans des conditions définies par décret en Conseil d’État, l’Institut national des données de santé, prévu à l’article L. 1462‑1 du code de la santé publique, peut être saisi sur le caractère d’intérêt public que présente la recherche, l’étude ou l’évaluation justifiant la demande de traitement par la Commission nationale de l’informatique et des libertés ou le ministre chargé de la santé ; il peut également évoquer le cas de sa propre initiative.
« Les dossiers présentés dans le cadre du présent chapitre sont déposés auprès d’un secrétariat unique qui assure leur orientation vers les instances compétentes.
« III. – Pour chaque demande, la Commission nationale de l’informatique et des libertés vérifie les garanties présentées par le demandeur pour l’application des présentes dispositions et, le cas échéant, la conformité de sa demande à ses missions ou à son objet social. Si le demandeur n’apporte pas d’éléments suffisants pour attester la nécessité de disposer de certaines informations parmi l’ensemble des données à caractère personnel dont le traitement est envisagé, la commission peut interdire la communication de ces informations par l’organisme qui les détient et n’autoriser le traitement que pour ces données réduites.
« La commission statue sur la durée de conservation des données nécessaires au traitement et apprécie les dispositions prises pour assurer leur sécurité et la garantie des secrets protégés par la loi. »
« IV. – Pour les catégories les plus usuelles de traitements automatisés de données de santé à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé, la Commission nationale de l’informatique et des libertés peut homologuer et publier des méthodologies de référence destinées à simplifier la procédure d’examen. Celles-ci sont établies en concertation avec le comité d’expertise scientifique et des organismes publics et privés représentatifs des acteurs concernés.
« V. – La Commission peut, par décision unique, délivrer à un même demandeur une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques. » ;
« c) L’article 55 est ainsi modifié :
« – Le second alinéa est ainsi rédigé :
« Lorsque ces données permettent l’identification des personnes, leur transmission doit être effectuée dans des conditions de nature à garantir leur confidentialité. La Commission nationale de l’informatique et des libertés peut adopter des recommandations ou des référentiels sur les procédés techniques à mettre en œuvre.
« – À la première phrase de l’avant-dernier alinéa, les mots : « de la recherche » sont supprimés ;
« d) L’article 57 est ainsi modifié :
« – Le premier alinéa est précédé de la mention : « I » ;
« – Le dernier alinéa est supprimé ;
« – Il est complété par six alinéas ainsi rédigés :
« II. – Lorsque les données à caractère personnel ont été initialement recueillies pour un autre objet que la recherche, l’étude ou l’évaluation, il peut être dérogé, sous réserve du III à l’obligation d’information définie au I :
« 1° Pour les traitements nécessaires à la conservation de ces données à des fins historiques, statistiques ou scientifiques, dans les conditions prévues au livre II du code du patrimoine ;
« 2° Pour la réutilisation de ces données à des fins statistiques dans les conditions de l’article 7 bis de la loi n° 51‑711 du 7 juin 1951 sur l’obligation, la coordination et le secret en matière de statistiques ;
« 3° Lorsque l’information individuelle se heurte à la difficulté de retrouver les personnes concernées ou représente des efforts disproportionnés par rapport à l’intérêt de la démarche.
« Les dérogations à l’obligation d’informer les personnes de l’utilisation de données les concernant à des fins de recherche, d’étude ou d’évaluation sont mentionnées dans le dossier de demande d’autorisation transmis à la Commission nationale de l’informatique et des libertés qui statue sur ce point.
« III. – Quand la recherche, l’étude ou l’évaluation faisant l’objet de la demande utilise des données de santé à caractère personnel recueillies à titre obligatoire et destinées aux services ou établissements de l’État ou aux organismes de sécurité sociale, l’information des personnes concernées quant à la réutilisation possible de ces données, après suppression des données directement identifiantes, à des fins de recherche, d’étude ou d’évaluation, est assurée selon des modalités définies par décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés. » ;
« e) À l’article 61, les mots : « ayant pour fin la recherche » sont remplacés par les mots : « à des fins de recherche, d’étude ou d’évaluation » ».
EXPOSÉ SOMMAIRE
Au premier alinéa, les mots « et les études » ont été ajoutés dans un souci de cohérence, afin que soient mentionnées dans cet alinéa les trois finalités « recherches, études et évaluations » mentionnées dans le reste du chapitre IX modifié.
Plus loin dans le même alinéa, la liste des articles de la loi informatique et libertés qui ne s’appliquent pas au chapitre IX est modifiée afin de lever une incohérence concernant l’article 25 de la même loi : le II et le III de l’article 25 sont bien applicables ici, alors que la rédaction du projet de loi en écartait d’abord l’application conformément à la rédaction en vigueur du chapitre IX), pour la rétablir au III de l’article 54.
Cette modification permet à la Commission nationale de l’informatique et des libertés de délivrer des autorisations uniques pour des traitements similaires ; c’est une importante mesure de simplification permise par le II de l’article 25. Elle rétablit également la disposition du III de l’article 25 selon laquelle l’absence de réponse de la Commission nationale de l’informatique et des libertés dans un délai de deux mois, renouvelable une fois, vaut rejet (comme c’est le cas aujourd’hui)
Les modifications apportées à l’article 54 modifié concernent principalement le comité d’expertise qui doit donner un avis à la Commission nationale de l’informatique et des libertés sur les demandes d’accès aux données de santé à des fins d’études, recherches ou évaluations n’impliquant pas la personne humaine.
Le caractère scientifique du comité d’expertise mentionné au 2° du II ne figure plus dans la dénomination dudit comité, qui émettra un avis sur une diversité de projets – de nature scientifique ou non scientifique.
Deux alinéas sont ensuite ajoutés décrivant plus précisément, conformément aux demandes des parties prenantes réunies au sein de la Commission open data en santé :
- la composition du comité d’expertise, devant garantir la diversité des profils (académiques et non académiques), en cohérence avec la diversité des projets sur lesquels ses avis seront requis ;
- les points sur lesquels le comité d’expertise émet ses avis : l’ordre de ces points est modifié pour refléter les priorités identifiées par la Commission open data, et la « qualité scientifique » sera étudiée, plutôt que « l’intérêt scientifique » ;
- l’obligation pour le comité d’expertise d’émettre des recommandations en cas d’avis négatif, afin d’éclairer le demandeur sur les modifications à apporter à sa demande en cas de re-soumission.
Les conditions de saisine de l’institut national des données de santé (INDS) sont précisées. L’existence d’un « secrétariat unique » devant réceptionner les demandes d’accès aux données de santé, et leur orientation vers les instances compétences, est précisée en cohérence avec le rôle dévolu à l’INDS dans l’article L. 1462‑1 du Code de santé publique. L’INDS aura ainsi pour mission de transmettre à la CNIL les différents avis mentionnés à l’article 54 de la loi informatique et libertés. Cela correspond également à une demande des membres de la commission open data.
Le V de l’article 54, qui définit les vérifications opérées par la CNIL, devient le III dans un souci d’amélioration de la lisibilité du texte. Ainsi, les procédures simplifiées que pourra utiliser la CNIL sont regroupées à la fin de l’article 54.
Le III de l’article 54 est supprimé puisqu’il n’est évidemment plus nécessaire de rétablir des dispositions que l’article 53 aurait écartées (en cohérence avec le point mentionné plus haut concernant l’article 25).
Le IV est complété sur deux aspects : dans un souci de clarification de l’intention, il est ajouté que les méthodologies de référence sont destinées à simplifier la procédure d’examen des demandes par la CNIL ; il est également ajouté qu’elles sont établies en concertation avec le comité d’expertise et les organismes représentatifs des acteurs concernés.
Un V est ajouté permettant à la Commission nationale de l’informatique et des libertés de délivrer des autorisations « cadre » : cette disposition correspond à une pratique actuelle de la Commission et reprend la terminologie des autorisations uniques décrites au II de l’article 25 de la loi informatique et libertés. La différence est ici que l’autorisation est donnée à un acteur, alors que les autorisations uniques sont établies par la CNIL sur le constat de demandes similaires par de nombreux acteurs.
Enfin, au dernier alinéa de l’article 54, le terme « détermine » est remplacé par « statue sur », ce qui permet de clarifier que la CNIL est compétente pour apprécier la pertinence et la proportionnalité de la durée fixée par la déclarant (et motivée par lui) à la finalité du traitement.
Les modifications de l’article 55 telles que formulées dans le projet de loi sont porteuses de possible confusion entre anonymisation des données et sécurité des transmissions électroniques de données identifiantes (en utilisant par exemple une technique de chiffrement). L’amendement propose donc deux modifications :
- Le principe d’un codage des données avant transmission est proposé en remplacement du principe d’anonymisation irréversible des données à l’aide « de procédés techniques visant à rendre impossible cette identification ». Ce dernier n’est en effet pas cohérent avec à la possibilité, définie à l’article 55 de la loi informatique et libertés, de revenir à l’identité du patient pour des études qui l’exigent, dans des conditions strictement encadrées par la Commission nationale de l’informatique et des libertés.
- Ce principe ainsi révisé permet d’éviter le régime dérogatoire qui était introduit par la suite. Les dérogations telles que prévues dans le projet de loi, qui renvoyaient à l’article L.1461-3 du code de santé publique, ne prenaient pas en compte les projets de recherche, étude et évaluation motivant l’accès à des données autres que celles du SNDS, seules données abordées par ledit article. Or ces autres projets forment la majorité des recherches mises en œuvre aujourd’hui, comme le permet l’actuel article 55 de la loi informatique et liberté.
A l’article 57, l’alinéa 8 est supprimé car il était redondant avec le II et le III du même article.