La Commission nationale de l'informatique et des libertés,
Saisie par le ministère des solidarités et de la santé d’une demande d’avis concernant un projet de loi relatif à l’organisation et à la transformation du système de santé ;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Vu le code de la santé publique ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 11-I-4-a ;
Vu la loi n° 2017-55 du 20 janvier 2017 portant statut général des autorités administratives indépendantes et des autorités publiques indépendantes, notamment son article 22 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés;
Après avoir entendu Mme Valérie PEUGEOT, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l’avis suivant :
En application de l’article 11-4-a) de la loi du 6 janvier 1978 modifiée, la Commission a été saisie, par le ministère des solidarités et de la santé, de certaines dispositions du projet de loi relatif à l’organisation et à la transformation du système de santé.
La Commission est ainsi saisie des principales dispositions de son titre III ( Développer l’ambition numérique en santé ) à savoir celles relatives à l’élargissement et à la transformation du système national des données de santé (SNDS) (article 11), à la suppression d’un tiers de confiance chargé de procéder à la réidentification des personnes concernées dans le SNDS (article 15), à la création d’un espace numérique de santé (ENS) (article 12) et au nouveau dispositif appelé télésoin (article 13). Enfin, par saisine rectificative, la Commission est saisie des dispositions de l’article 20 du projet de loi relatives à l’extension du dispositif d’identification unique des victimes prévu par l’article L. 3131-9-1 du code de la santé publique (CSP).
A titre liminaire, la Commission estime nécessaire, au regard des enjeux forts liés à la protection des données, que l’étude d’impact du projet de loi contienne des éléments appropriés sur l’incidence particulière des traitements de données à caractère personnel envisagés, compte tenu de leur ampleur et de la nature des données.
Concernant l’article 11 du projet de loi (SNDS)
Sur l’élargissement et le changement de nature du SNDS
Afin, comme le précise l’exposé des motifs, de favoriser l’utilisation et de multiplier les possibilités d’exploitation des données, aussi bien en recherche clinique, qu’en termes de nouveaux usages, notamment ceux liés au développement des méthodes d’intelligence artificielle , les pouvoirs publics estiment nécessaire d’étendre le périmètre des données incluses dans le SNDS – c’est-à-dire des données rendues disponibles à des tiers dans les conditions fixées par l’article L. 1461-1 du CSP – à l’ensemble des données collectées lors des actes pris en charge par l’assurance maladie. Il s’agit, concrètement, d'élargir le SNDS , qui réunit déjà tous les grands fichiers en vertu de la loi du 26 janvier 2016 (le SNIIRAM, le PMSI, la BCMD, les données médico-sociales des maisons départementales des personnes handicapées et l’échantillon représentatif des données de remboursement par bénéficiaires transmis par les mutuelles) pour y inclure désormais l’ensemble des données cliniques recueillies par les professionnels de santé dans le cadre de leurs activités et liées aux actes ou prestations remboursés ; ; seraient ainsi concernées les données traitées dans les logiciels métiers des médecins ou dans les logiciels de prescription des pharmaciens, celles contenues dans les entrepôts créés par certains établissements hospitaliers, etc.
Au-delà d’un simple élargissement, cette évolution change la dimension même du SNDS, qui viserait à contenir ainsi l’ensemble des données médicales donnant lieu à remboursement recueillies par les professionnels de santé en France. Si l’extension prévue dans le projet de loi peut se justifier par des objectifs d’aide à la recherche et à l’innovation dans le domaine de la santé, et si l’évaluation de la conformité de l’ensemble du dispositif suppose l’intervention des actes réglementaires d’application, en l’absence de toute précision dans le projet de loi sur l’architecture précise du dispositif, la Commission appelle dès maintenant l’attention sur la problématique majeure du respect, en pratique, des principes de limitation des finalités et de minimisation des données par ces nouveaux traitements, évoluant dans un contexte d’accumulation de données pour alimenter les algorithmes d’intelligence artificielle.
En outre, au regard du caractère extrêmement sensible des données traitées, elle alerte les pouvoirs publics sur les conditions concrètes de mise en œuvre de cette évolution, en particulier en matière d’information des patients et de sécurité des systèmes d’information concernés, qui devront être prévues lors des textes réglementaires et atteindre le niveau de garantie qu’appellent, en application du règlement général sur la protection des données (RGPD), des traitements de cette nature.
Elle estime en outre indispensable de devoir être saisie de l’arrêté précisant les modalités d’application prévu au projet de 6° de l’article L. 1461-1 du CSP.
À ce stade, concernant le nouveau périmètre du SNDS, la Commission comprend que les données recueillies dans des études de cohorte en dehors de la prise en charge médicale (par exemple par l’intermédiaire des questionnaires patients) ou en dehors des actes remboursés ne seraient pas incluses dans ce périmètre. La Commission prend acte des précisions du ministère selon lesquelles les données traitées dans les entrepôts constitués par certains opérateurs privés n’entreront pas dans le périmètre du SNDS étendu.
Sur la création de la Plateforme technologique des Données de Santé
La Commission relève que le projet de loi ne comporte aucune description ni élément de cadrage de l’architecture technique de la plateforme technologique des données de santé, compte tenu des options restant actuellement en discussion.
À cet égard, la Commission estime indispensable que le décret, pris après avis de la CNIL et auquel elle accordera une attention particulière, précise l’architecture globale et technique, dont le cadrage sera réalisé en collaboration avec l’Agence nationale de la sécurité des systèmes d'information (ANSSI).
Dès à présent, la Commission alerte sur les risques inhérents à la concentration éventuelle de données sensibles sur la plateforme technologique, qui nécessiteront la mise en place de mesures de sécurité appropriées et adaptées aux risques.
Sur la création de la Plateforme des Données de Santé en tant que Groupement d’Intérêt Public (GIP)
A la différence du choix effectué par la loi de modernisation de notre système de santé, la mise en œuvre du SNDS modifié ne reposerait pas sur un unique responsable de traitement. Le projet de loi renvoie en effet à un décret en Conseil d’Etat, pris après avis de la CNIL, le soin de déterminer les responsables ou catégories de responsables des traitements du SNDS, et leurs rôles respectifs.
En outre, le projet de loi prévoit la création de la Plateforme des Données de Santé, groupement d’intérêt public (GIP), qui se substituerait à l’Institut National des Données de Santé (INDS). La Plateforme des Données de Santé reprendrait, pour partie, les missions actuelles de l’INDS, en particulier le secrétariat unique pour les recherches n’impliquant pas la personne humaine.
Parmi ses nouvelles missions, figurerait celle, essentielle au regard du choix d’une architecture décentralisée du SNDS, de réunir, organiser et mettre à disposition les données du SNDS (…) . La Commission estime que ce GIP serait susceptible, selon les cas de figure, d’être qualifié de responsable (par exemple, pour les traitements constitués avant exportation des données aux demandeurs), ou de co-responsable de traitements (par exemple, ceux destinés à être exploités par les demandeurs dans le cadre de la plateforme technique que le GIP aura vocation à offrir). La Commission estime que les textes pourraient utilement prévoir, comme le permet l’article 4 du RGPD, les critères spécifiques applicables à sa désignation en tant que responsable ou co-responsable de traitement.
La Plateforme des Données de Santé pourrait également être considérée comme sous-traitant au sens de l’article 4 du RGPD lorsqu’elle réalisera des opérations pour le compte d’un demandeur.
En tout état de cause, le rôle de la Plateforme des Données de Santé tel que prévu par le projet de loi – sans commune mesure avec le rôle actuel de l’INDS – commandera la mise à disposition de moyens humains et techniques importants afin que les principes du RGPD et de la loi soient effectivement respectés dans le cadre de la mise à disposition des données issues du SNDS.
Enfin, eu égard au changement de nature du SNDS, la Commission estime que la Plateforme des Données de Santé devrait se voir confier une mission additionnelle d’information des patients et de promotion et de facilitation de leurs droits, en particulier concernant les droits d’opposition ou, le cas échéant, à la portabilité.
Sur l’ouverture de l’accès au SNDS à tout traitement de données de santé
Le projet de loi vise à modifier l’article L. 1461-3 du CSP afin de permettre un accès aux données du SNDS pour tout traitement présentant un caractère d’intérêt public, et non plus seulement ayant une finalité de recherche, étude ou évaluation .
Cette modification conduira notamment à permettre les appariements des données du SNDS avec des bases de données telles que des entrepôts (privés ou publics) ou registres constitués pour de longues durées, voire de façon pérenne, sous réserve d’une autorisation de la CNIL. La Commission souligne la portée majeure, compte tenu de la nature du dispositif en cause, de la suppression de tout encadrement exprès des finalités dans la loi. Elle rappelle qu’en tout état de cause, conformément au principe de limitation des finalités résultant de l’article 5 du RGPD, les traitements mis en œuvre devront répondre à une ou plusieurs finalités déterminées, explicites et légitimes.
Par ailleurs, dans le cadre des demandes d’autorisation qu’elle sera amenée à recevoir, la Commission sera particulièrement vigilante au strict respect des principes liés à la protection des données – à savoir les principes de minimisation, des durées de conservation et des destinataires des données – tout comme aux aspects de sécurité des données. Dans l’hypothèse où des données seraient dupliquées au sein de la plateforme technologique, elle accordera une attention particulière à leur durée de conservation et à leur cloisonnement.
En outre, la Commission estime que cette ouverture conduit par elle-même, à étendre les cas de présentation de demandes de constitution des systèmes fils contenant des données issues du SNDS, y compris pour des traitements effectués en dehors d’une recherche précise et limitée dans le temps, quand bien même le référentiel de sécurité relatif au SNDS pose des exigences strictes de sécurité.
La Commission prend acte cependant de la volonté du gouvernement de diminuer le nombre de systèmes fils. À cet égard, elle suggère que le décret puisse encadrer les conditions de création de ces systèmes fils (durée, modalités, etc.), en particulier dans l’hypothèse où ceux-ci seraient constitués en dehors de la plateforme technologique.
Sur la procédure d’accès aux données
À titre liminaire, au vu notamment des modifications relatives à la nature des données mises à disposition, et ce, quel que soit le statut du demandeur, la Commission alerte sur la nécessité d’une doctrine solide sur le caractère d’intérêt public et, le cas échéant, sur un examen approfondi de ce critère lors des demandes d’autorisation.
La Commission remarque que la nouvelle formulation du II de l’article L. 1461-3 du CSP limiterait les demandes d’autorisation auprès de la Commission d’accès au SNDS aux seuls traitements concernant la santé . Or, certains projets de recherche n’utilisent que les données des professionnels de santé du SNDS (et non des données à caractère personnel de santé). La Commission s’interroge sur le choix opéré d’exclure ceux-ci du principe d’une autorisation à partir du moment où les données du SNDS sont mobilisées.
La Commission relève que le comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé (CEREES) serait remplacé par un nouveau comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CES). Ce comité reprendrait les missions du CEREES et pourrait également être saisi, ou se saisir, du caractère d’intérêt public d’une recherche, rôle précédemment assigné au Comité d’Expertise pour l’Intérêt Public (CEIP) placé auprès de l’INDS.
La Commission attire l’attention sur la composition de ce futur comité aux compétences élargies notamment aux questions éthiques. Elle estime que les statuts des membres des Comités des Protection des Personnes (CPP) ainsi que de ceux du CEIP pourraient servir de référence pour la composition de ce comité. Enfin, la Commission regrette que ses missions ne soient pas précisées au niveau législatif, comme c’était le cas pour le CEREES ou comme c’est le cas actuellement pour les CPP.
S’agissant des modalités de tarification pour l’accès au SNDS, l’article L. 1461-5 du CSP prévoit un accès gratuit aux données du SNDS pour l’autorité publique et les recherches réalisées exclusivement pour les besoins de services publics administratifs. A contrario, les acteurs privés seraient tenus de payer l’accès au SNDS. Elle attire l’attention du gouvernement sur la nécessité de définir précisément les statuts de chaque demandeur et les conséquences qui en découlent sur cette tarification. S’agissant des partenariats public-privé, la Commission prend acte de la précision du ministère sur la gratuité de l’accès dès lors que le traitement serait demandé par l’autorité publique ou lors d’une recherche réalisée exclusivement pour les besoins des services publics.
S’agissant de la modification de l’article 30 de la loi informatique et libertés sur le traitement du NIR, la Commission prend acte de l’ajout de cette disposition, qui vient préciser qu’une autorisation est nécessaire lors d’un traitement du NIR INS dans le cadre de bases de données (type entrepôts) utilisées à des fins ultérieures de recherche.
Les autres dispositions de cet article n’appellent pas d’observation de la part de la Commission.
Concernant l’article 15 du projet de loi
L’article 15 procède à la suppression du tiers de confiance chargé de procéder à la réidentification des personnes concernées dans le SNDS.
Selon les pouvoirs publics, la réalité de ces besoins n’a pas été établie car les mécanismes d’identification, notamment pour alerter une personne d’un risque sanitaire grave auquel elle serait exposée, peuvent être mis en œuvre via les bases sources du SNDS, qui sont nominatives.
La Commission, dans la mesure où un tel mécanisme ne porte pas atteinte au principe de non réidentification des personnes consacré par l'article L.1460-1 du CSP, est favorable à la suppression de la disposition susvisée.
Concernant l’article 12 du projet de loi (espace numérique de santé)
Le présent projet de loi a pour objet de permettre à chaque usager du système de santé de disposer gratuitement, d’ici 2022, d’un espace numérique de santé (ENS) comprenant ses données personnelles de santé et ses données de remboursement de soins et lui permettant également à terme d’accéder à des services et outils de santé numériques (tels notamment l’usage d’une messagerie sécurisée, d’un service de prise de rendez-vous en ligne ou d’un service de télémédecine). Ces outils et services additionnels pourront le cas échéant être proposés par des acteurs privés externes.
La Commission relève que cette offre constitue un traitement de données à caractère personnel au sens de l’article 4-2 du RGPD et qu’elle devra dès lors être saisie du décret en Conseil d’Etat prévu pour définir les conditions et modalités d’application de l’ENS. Par conséquent, la Commission demande à ce que le projet soit complété pour préciser que les conditions et modalités d’application [de cet article] sont définies par décret en Conseil d’Etat pris après avis de la CNIL.
L’article L. 1111-13-1 du projet de loi prévoit que l’ENS permettra à son titulaire d’accéder en particulier à son dossier médical partagé (DMP) ainsi qu’à l’ensemble des données relatives au remboursement de ses dépenses de santé présentés comme les deux premiers dispositifs alimentant l’ENS.
La Commission s’interroge d’une façon générale sur l’articulation avec ces dispositifs déjà existants dans un contexte où le DMP est en pleine phase de généralisation et de développement technique. Elle souligne qu’une confusion pourrait naître dans l’esprit des utilisateurs entre ces différents dispositifs dont les modalités de fonctionnement diffèrent. Dans ce contexte, elle se montrera particulièrement vigilante quant au contenu et modalités d’information des personnes sur l’ENS et suggère que ces modalités d’information soient précisées par le décret en Conseil d’Etat.
La Commission s’interroge, par ailleurs et plus précisément, sur l’intérêt et la nécessité de permettre l’accès des professionnels de santé à l’ensemble des informations de l’ENS au-delà des informations figurant dans le DMP. Elle suggère que l’accès soit restreint à certains contenus de l’espace numérique et que les modalités selon lesquelles cet accès est permis soient précisées.
La Commission relève également que le projet de loi prévoit que l’ENS est ouvert à l’initiative des personnes tandis que les dispositions encadrant le DMP prévoient la nécessité de recueillir le consentement exprès des personnes. Dans la mesure où le ministère a confirmé que la base légale retenue pour l’ENS serait celle du consentement, elle suggère pour éviter toute confusion de faire également mention du consentement de l’usager à la création de l’ENS dans le projet de loi.
Le projet de loi prévoit la possibilité pour toute personne ou son représentant légal d’ouvrir un ENS. La Commission demande que les modalités d’ouverture d’un ENS, le cas échéant lorsque le titulaire est une personne mineure, soient précisées dans le décret d’application.
S’agissant des données personnelles collectées à l’ouverture de l’ENS énumérées à l’article L. 1111-13-1 du projet, la Commission rappelle que les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité pour lesquelles elles sont traitées, conformément aux dispositions de l’article 5-1-c du RGPD. Elle demande que la nature des informations de l’ENS soit détaillée par le décret en Conseil d’Etat qui serait pris après avis de la CNIL et s’interroge sur l’encadrement des croisements de données entre les différents services de l’ENS et sur les conditions d’une portabilité des données sécurisée.
La Commission attire l’attention sur le fait que le référencement des services et outils doit également conduire à ce que seules des données pertinentes puissent y être versées afin de palier d’éventuelles mauvaises pratiques dans l’alimentation de l’ENS de la part des usagers.
Elle demande à être associée aux travaux relatifs à l’élaboration des référentiels, labels et normes imposés dans l’ENS et à être consultée préalablement à leur validation.
Concernant les aspects de sécurité, la Commission souligne que l’ENS, en tant qu’agrégateur de services et de données, devra respecter les règles d’authentification, les matrices d’habilitation et les principes de traçabilité définis pour chacun des différents services qu’il agrègera. La Commission relève également que l’ENS, en tant que traitement à part entière – proposant qui plus est des fonctionnalités spécifiques de partage d’accès et d’extraction de données – devra disposer de sa propre gestion des risques sur la vie privée. Enfin, la Commission observe que l’ENS devra faire l’objet d’un hébergement auprès d’un hébergeur de données de santé agréé/certifié dans le respect de l’article L. 1111-8 du CSP.
Concernant l’article 13 du projet de loi
Le projet de loi introduit à la suite des dispositions relatives à la télémédecine qui permet une prise en charge médicale à distance d’un patient par un médecin, une nouvelle pratique de soins à distance entre un patient et un/des pharmaciens(s) ou un/des auxiliaires médicaux, intitulé télésoin .
Le projet de loi prévoit que seules les conditions de prise en charge des activités de télésoin sont fixées par décret. Les activités de télésoin sont autorisées par arrêté du ministre de la santé, pris après avis de la Haute Autorité de Santé, qui portera sur les conditions de réalisation garantissant la qualité, la sécurité et la pertinence.
La Commission relève que l’activité de télémédecine, dont le télésoin est le pendant pour les professionnels de santé hors professions médicales stricto sensu, a fait l’objet d’un décret portant sur les conditions de mise en œuvre et de prise en charge dont la CNIL avait été saisie pour avis.
Compte tenu des enjeux importants que soulève l’usage des nouvelles technologies de l’information et de la communication en matière de protection des données personnelles et dans la mesure où le télésoin constitue un traitement de données à caractère personnel au sens de l’article 4-2 du RGPD, la Commission estime que le décret pris pour application du télésoin doit également porter expressément sur les conditions de mise en œuvre.
Concernant l’article 20 du projet de loi (dispositifs mis en place pour faire face aux situations sanitaires exceptionnelles)
Le projet de loi étend la possibilité de recueillir les informations strictement nécessaires à l’identification des victimes et à leur suivi en cas de situation sanitaire exceptionnelle ou pour tout événement de nature à impliquer de nombreuses victimes, notamment les accidents collectifs.
La Commission s’interroge sur les hypothèses visées par tout événement de nature à impliquer de nombreuses victimes, notamment les accidents collectifs . Elle sera en tout état de cause particulièrement vigilante aux garanties apportées par le ministère des solidarités et de la santé quant à ce dispositif soumis à autorisation de la CNIL.
Les autres dispositions n’appellent pas d’observation de la part de la Commission.
Conformément à l’article 22 de la loi du 20 janvier 2017, cet avis sera rendu public.
La Présidente