La Commission nationale de l'informatique et des libertés,
Saisie par le ministère des solidarités et de la santé, le ministère du travail et le ministère de l'action et des comptes publics d'une demande d'avis concernant un projet de décret modifiant le décret pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Vu le code de la santé publique ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés et notamment son article 8-I-4°-a ;
Vu la loi n° 2019-774 du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé ;
Vu le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu Mme Valérie PEUGEOT, commissaire , en son rapport, et de Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Ce projet de décret a pour objet de modifier le décret n° 2019-536 du 29 mai 2019 suite à la loi n° 2019-774 du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé.
Il appelle les observations suivantes de la part de la commission.
Sur le contenu du dossier de saisine prévu à l'article 89 du décret :
Afin de faciliter l'instruction des demandes d'autorisation dans les délais impartis par la loi, la commission propose de compléter la liste des pièces constitutives du dossier de demande d'autorisation déposé auprès du secrétariat unique afin qu'y figurent également :
- le cas échéant, les réponses transmises par le responsable de traitement suite à l'avis rendu par le comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES) lorsque l'avis rendu est favorable avec recommandations, réservé ou défavorable ;
- le cas échéant, le contrat de responsabilité conjointe de traitement conformément à l'article 26 du règlement général sur la protection des données.
La commission propose, par ailleurs, que soit précisé dans le décret le contenu de certaines pièces constitutives du dossier de demande, à savoir :
- les avis rendus antérieurement par des instances scientifiques ou éthiques . Sur ce point, la commission propose qu'il comprenne également, le cas échéant, l'avis du comité mis en place par le responsable de traitement de l'entrepôt de données de santé afin d'évaluer les projets de recherche, études ou évaluations dans le domaine de la santé, lorsque le projet vise à la réutilisation de données issues de cet entrepôt ;
- le cas échéant, la liste des traitements répondant aux caractéristiques prévues au IV de l'article 66 de la loi du 6 janvier 1978 susvisée. Le dossier précise, en ce cas, les catégories de données, les destinataires ou les catégories de destinataires. La commission propose que figure également dans le dossier de demande la justification du recours au mécanisme de la décision unique afin de lui permettre d'en apprécier l'opportunité ;
- s'agissant de l'information des personnes concernées, l'article 89 du décret du 29 mai 2019 précise que le dossier déposé doit comporter s'il y a lieu, les mesures d'information prévues en application du règlement (UE) 2016/679 du 27 avril 2016 susvisé et à l'article 58 de la loi du 6 janvier 1978 susvisée ainsi que la justification de toute demande de dérogation à cette obligation d'information . La commission propose de modifier cette disposition afin que le dossier comporte les mesures d'information prévues en application de l'article 69 de la loi informatique et libertés ainsi que :
- le cas échéant, la justification de l'exception à la fourniture d'une information individuelle et les mesures appropriées mises en œuvre par le responsable de traitement en application de l'article 14, 5, b du règlement général sur la protection des données ;
- le cas échéant, la justification de la dérogation à l'information et aux modalités d'exercice des droits par les titulaires de l'autorité parentale en application de l'article 70 de la loi informatique et libertés .
Sur le fonctionnement et les missions du CESREES :
Sur l'avis du CESREES sur le caractère d'intérêt public :
Le projet d'article 90 du décret fixe les missions dévolues au CESREES qui se prononcera notamment le cas échéant , sur le caractère d'intérêt public que présente la recherche, l'étude ou l'évaluation, reprenant ainsi l'une des compétences attribuée à l'Institut national des données de santé par la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé.
Il ressort de la rédaction de ce projet d'article que le CESREES, qui examinera l'ensemble des dossiers qui seront déposés auprès du secrétariat unique, ne se prononcera pas de manière systématique sur le caractère d'intérêt public présenté par la finalité des traitements envisagés. La commission estime toutefois nécessaire que le CESREES se prononce systématiquement sur le caractère d'intérêt public, ou non, d'un projet de recherche.
Dans l'hypothèse où cette proposition ne serait pas retenue, elle s'interroge, d'une part, sur les critères qui seront mis en œuvre par le CESREES afin de déclencher une autosaisine et, d'autre part, sur la cohérence du dispositif prévoyant que la commission peut saisir le CESREES alors même que le comité n'a pas jugé opportun de s'autosaisir lors de l'examen initial du dossier de demande.
Elle demande donc que des précisions soient apportées sur ces points.
La faculté de saisine du CESREES sur l'intérêt public par la commission est justifiée par le fait que l'examen des recherches impliquant la personne humaine relève de la compétence des comités de protection des personnes.
La commission propose que l'alinéa 5 du projet d'article 90 relatif au délai dont dispose le CESREES pour se prononcer mentionne expressément que le délai d'un mois est applicable lorsqu'il est saisi par la commission. En effet, il existe une ambiguïté sur ce point dès lors que le premier alinéa de cet article évoque seulement l'hypothèse d'une saisine par le secrétariat unique, et non celle, pourtant prévue par l'article 72 alinéa 2 de la loi du 6 janvier 1978, d'une saisine à l'initiative de la commission. Cette dernière attire l'attention du ministère sur les délais légaux dont elle dispose pour se prononcer ; les demandes pour lesquelles la commission saisirait le CESREES sur l'intérêt public sont ainsi susceptibles d'être réputées acceptées dès l'avis rendu, faute de suspension du délai d'instruction en cas de saisine sur l'intérêt public.
Enfin, la commission suggère au ministère de modifier le projet de décret afin que le demandeur soit également destinataire de l'avis du comité, comme le texte le prévoit actuellement s'agissant de l'avis de l'Institut national des données de santé.
Sur la motivation des avis du CESREES :
Le projet d'article 90 du décret prévoit que l'avis rendu par le CESREES est motivé tandis que le projet d'article 95 fait état d'une motivation de l'avis uniquement lorsque ce dernier est favorable avec recommandations , réservé ou défavorable .
A cet égard, la commission attire l'attention du ministère sur la nécessité que chacun des avis rendus par le CESREES soit motivé, y compris les avis favorables, et ce sur chacun des points relevant de sa compétence. Elle estime souhaitable notamment que l'avis sur l'intérêt public soit étayé au regard du faisceau d'indices dégagé par l'Institut national des données de santé, plus particulièrement concernant la transparence des résultats envisagée par le responsable de traitement.
La commission relève que, parmi les points relevant de la compétence du CESREES, ne figure pas explicitement l'examen des enjeux éthiques soulevés par le projet de recherche. Elle propose que le projet de décret soit modifié afin que le comité se prononce, le cas échéant, sur ce point, qui est distinct de l'intérêt public.
Concernant la publication des avis par la plateforme des données de santé :
Le projet d'article 95 du décret dispose que pour les traitements autorisés par la Commission, la motivation de l'avis du comité et les éléments justificatifs sont publiés par la plateforme des données de santé, à la fin de la recherche, de l'étude ou de l'évaluation.
La commission propose que l'ensemble des avis rendus par le CESREES soit publié, que la demande ait fait l'objet d'une décision expresse d'autorisation ou de refus de la commission ou ait été réputée acceptée en application des dispositions de l'article 66 (V) de la loi informatique et libertés .
Dans un souci de transparence, et dans la mesure où tous les traitements à des fins de recherche, d'étude ou d'évaluation doivent présenter une finalité d'intérêt public, la commission propose que ces avis soient publiés au sein du répertoire public au moment de la publication de la décision de la commission ou une fois la demande réputée acceptée, et non à la fin de la recherche, de l'étude ou de l'évaluation.
Elle suggère par ailleurs que soit publié, à tout le moins, le sens du ou des avis rendus lorsque la demande n'est pas transmise à la commission.
Sur la composition du CESREES :
Concernant la nomination des membres et la composition du CESREES :
L'article premier du projet de décret prévoit la modification de l'article 93 du décret du 29 mai 2019 relatif à la composition du CESREES. Ce projet d'article modifie les modalités de nomination des membres du comité.
D'une manière générale, la commission exprime le souhait que la composition du CESREES reflète la diversité des acteurs ayant vocation à utiliser les données du SNDS.
Elle relève que le Comité consultatif national d'éthique - dont la mission est de donner des avis sur les problèmes éthiques et les questions de société soulevés par les progrès de la connaissance dans les domaines de la biologie, de la médecine et de la santé - proposera un unique représentant. Au-delà de cette désignation, la commission souligne l'importance d'assurer un équilibre des compétences attendues, y compris en matière d'éthique, lors de la nomination des autres membres du CESREES.
La commission relève, enfin, que les modalités de renouvellement du mandat des membres du comité ne sont plus prévues par le projet. Elle propose que ces modalités y soient réintroduites.
Concernant la sollicitation des experts extérieurs :
La commission relève que le projet d'article 93 du décret complète les dispositions évoquées dans l'actuel article 95 du décret du 29 mai 2019 concernant la sollicitation des experts extérieurs.
Le projet d'article 93 prévoit que le comité peut faire appel à des experts extérieurs choisis par le président du comité sur proposition de ses membres, notamment les représentants des producteurs de données concernées par les demandes de traitements . La commission s'interroge sur ce qui est entendu par représentant des producteurs de données concernés , sur les modalités de leur sollicitation ainsi que sur leur rôle. A cet égard, le cas échéant, elle estime utile la consultation du représentant du comité en charge de l'évaluation des projets de recherche, études ou évaluation dans le domaine de la santé, lorsque le projet vise à la réutilisation de données issues d'un entrepôt de données de santé.
Concernant le règlement intérieur du CESREES :
Le projet d'article 95 du décret précise le contenu du règlement intérieur du CESREES qui doit désormais définir, en sus de ce qui était initialement prévu, les conditions d'organisation de procédures simplifiées au cours desquelles il rend un avis sans débat et les règles de délibération.
La commission propose qu'il soit fait mention dans le décret de ce que le règlement intérieur précise également :
- le rôle du vice-président du comité ;
- les modalités de désignation des experts extérieurs ainsi que leur rôle ;
- les modalités de recours au représentant des producteurs de données, son rôle, les modalités et la périodicité de sa participation, ainsi que l'articulation de sa participation avec les décisions des organes de gouvernance des responsables de traitement, y compris lorsque la réutilisation de données d'un entrepôt de données de santé est envisagée, du comité interne en charge de l'évaluation des projets de recherche, études ou évaluation dans le domaine de la santé ;
- les modalités de publication des avis du CESREES.
Enfin, la commission relève l'absence de dispositions transitoires permettant d'assurer la continuité de l'activité du CEREES. Elle propose, si le décret ne devait pas être modifié sur ce point, que le règlement intérieur du CESREES fixe le sort des dossiers de demande déposés antérieurement à l'entrée en vigueur de la loi sur l'organisation et la transformation du système de santé, et plus particulièrement pour ceux ayant fait l'objet d'un avis réservé ou défavorable du CEREES et nécessitant un nouvel avis avant transmission de la demande à la commission.
Sur l'organisation des réunions du CESREES :
La commission relève que le projet d'article 95 du décret supprime la périodicité des réunions du CESREES initialement prévue dans le décret ( le CEREES se réunit au moins dix fois par an sur convocation de son président ).
Elle attire l'attention du ministère sur la nécessité de maintenir un nombre suffisant de réunions afin de permettre un examen des dossiers à une fréquence conduisant à une transmission fluide et régulière des dossiers à la commission.
Sur la composition du comité d'audit du Système national des données de santé :
Le projet d'article 101 du décret vise à modifier la composition du comité d'audit du SNDS, désormais composé du président de la plateforme des données ou de son représentant, en lieu et place du président de l'Institut national des données de santé ou de son représentant.
La commission relève que la plateforme des données de santé est qualifiée de responsable de traitement du système national des données de santé, tout comme la Caisse nationale d'assurance maladie.
Sur le répertoire public mis à disposition par le secrétariat unique :
L'article 110 du décret du 29 mai 2019, qui figure au sein d'une sous-section 3 relative aux procédures simplifiées, prévoit que les traitements qui ne sont pas enregistrés dans le répertoire public mentionné à l'article L. 1121-15 du code de la santé publique sont enregistrés dans un répertoire public mis à disposition par le secrétariat unique.
La commission demande que l'existence de ce répertoire soit mentionnée dans un article spécifique du décret, afin de lever toute ambiguïté sur le périmètre des recherches devant être inscrites dans ce répertoire, tout comme le contenu des informations devant y figurer.
Elle propose, par ailleurs, que l'ensemble des traitements réalisés dans le cadre de recherches n'impliquant pas la personne humaine figurent au sein d'un seul et même répertoire public, que le traitement soit mis en œuvre dans le cadre d'un engagement de conformité à une méthodologie de référence conformément à l'article 73 de la loi informatique et libertés ou d'une demande d'autorisation déposée à la commission.
Elle propose enfin que, par analogie avec les dispositions légales applicables au SNDS, soient publiés dans le répertoire l'autorisation de la commission, la déclaration des intérêts, la méthode ainsi que les résultats de l'étude ou, le cas échéant, des études lorsque celles-ci sont mises en œuvre dans le cadre d'une décision unique.
Dans la mesure où la publication des résultats par le responsable de traitement constitue un élément déterminant dans l'appréciation de l'intérêt public du projet de recherche, la commission suggère, à l'instar de ce qui est prévu par le règlement (UE) n ° 536/2014 du Parlement européen et du Conseil du 16 avril 2014 relatif aux essais cliniques de médicaments à usage humain, que soit également prévue la publication d'un résumé des résultats écrit d'une manière compréhensible pour les personnes profanes .
Sur les procédures d'information des personnes concernées :
Le projet d'article 111 du décret relatif à l'information des personnes concernées par la réutilisation de leurs données contenues dans le SNDS renvoie désormais au décret modificatif du décret n° 2016-1871 relatif au traitement de données à caractère personnel dénommé système national des données de santé .
En premier lieu, la commission attire l'attention du ministère sur le manque de clarté du projet d'article 111, qui opère plusieurs renvoi à des dispositions du code de la santé publique et du décret relatif au SNDS, qui devra lui-même être modifié dans les mois à venir. Elle propose donc au ministère de rendre ces dispositions plus intelligibles.
Elle demande, en outre, qu'il soit précisé que ces modalités d'information ne s'appliquent que dans l'hypothèse où le traitement envisagé sera réalisé exclusivement à partir des données issues du SNDS.
En second lieu, la commission attire l'attention du ministère sur le fait que les modalités d'information et d'exercice des droits des personnes, qui seront prévues par le décret relatif au SNDS, devront, d'une part, porter sur la constitution et le fonctionnement du SNDS ainsi que, d'autre part, sur la réutilisation de ces données, que les traitements concernés contribuent à une finalité mentionnée au III de l'article L. 1461-1 et répondant à un motif d'intérêt public ou qu'ils soient nécessaires à l'accomplissement des missions des services de l'Etat, des établissements publics ou des organismes chargés d'une mission de service public compétents.
Sur ce point, la commission rappelle qu'elle sera particulièrement vigilante sur les modalités d'information des personnes concernées prévues par le décret n° 2016-1871 relatif au traitement de données à caractère personnel dénommé système national des données de santé dans le cadre de l'examen du projet de texte.
Les autres dispositions du projet n'appellent pas d'observation particulière de la part de la commission.
La présidente,
M.-L. Denis